Se ha observado a los actores de amenazas cargando un conjunto de ocho paquetes en el registro npm que se hacían ocurrir por integraciones dirigidas a la plataforma de automatización del flujo de trabajo n8n para robar las credenciales OAuth de los desarrolladores.
Uno de esos paquetes, llamado “n8n-nodes-hfgjf-irtuinvcm-lasdqewriit”, imita una integración de Google Ads y solicita a los usuarios que vinculen su cuenta publicitaria de una forma aparentemente legítima y luego la desvíen a servidores bajo el control de los atacantes.
“El ataque representa una nueva ascensión en las amenazas a la dependencia de suministro”, dijo Endor Labs en un noticia publicado la semana pasada. “A diferencia del malware npm tradicional, que a menudo apunta a las credenciales de los desarrolladores, esta campaña explotó plataformas de automatización del flujo de trabajo que actúan como bóvedas de credenciales centralizadas, que contienen tokens OAuth, claves API y credenciales confidenciales para docenas de servicios integrados como Google Ads, Stripe y Salesforce en una sola ubicación”.
La relación completa de paquetes identificados, que desde entonces se han eliminado, es la subsiguiente:
- n8n-nodes-hfgjf-irtuinvcm-lasdqewriit (4241 descargas, autor: kakashi-hatake)
- n8n-nodes-ggdv-hdfvcnnje-uyrokvbkl (1.657 descargas, autor: kakashi-hatake)
- n8n-nodes-vbmkajdsa-uehfitvv-ueqjhhhksdlkkmz (1.493 descargas, autor: kakashi-hatake)
- n8n-nodes-rendimiento-métricas (752 descargas, autor: hezi109)
- n8n-nodes-gasdhgfuy-rejerw-ytjsadx (8,385 descargas, autor: zabuza-momochi)
- n8n-nodes-danev (5525 descargas, autor: dan_even_segler)
- n8n-nodes-rooyai-model (1.731 descargas, autor: haggags)
- n8n-nodes-zalo-vietts (4241 descargas, autores: vietts_code y diendh)
Los usuarios “zabuza-momochi”, “dan_even_segler” y “diendh” asimismo han sido vinculados a otras bibliotecas que todavía están disponibles para descargar al momento de escribir este artículo.
No está claro si albergan una funcionalidad maliciosa similar. Sin confiscación, una evaluación de los tres primeros paquetes de ReversingLabs Spectra Assure no ha descubierto problemas de seguridad. En el caso de “n8n-nodes-zl-vietts”, el disección marcó que la biblioteca contiene un componente con historial de malware.
Curiosamente, hace tan pronto como tres horas se publicó en npm una lectura actualizada del paquete “n8n-nodes-gg-udhasudsh-hgjkhg-official”, lo que sugiere que la campaña posiblemente esté en curso.
El paquete astuto, una vez instalado como nodo comunitario, se comporta como cualquier otra integración de n8n, mostrando pantallas de configuración y guardando los tokens OAuth de la cuenta de Google Ads en formato enigmático en el almacén de credenciales de n8n. Cuando se ejecuta el flujo de trabajo, ejecuta código para descifrar los tokens almacenados utilizando la secreto maestra de n8n y los extrae a un servidor remoto.
Este hecho marca la primera vez que una amenaza a la dependencia de suministro se dirige explícitamente al ecosistema n8n, y los malos actores utilizan como arsenal la confianza en las integraciones comunitarias para conseguir sus objetivos.
Los hallazgos resaltan los problemas de seguridad que surgen al integrar flujos de trabajo que no son de confianza, lo que puede ampliar la superficie de ataque. Se recomienda a los desarrolladores auditar los paquetes antiguamente de instalarlos, examinar los metadatos del paquete para detectar anomalías y utilizar integraciones oficiales de n8n.
N8n asimismo advirtió sobre el aventura de seguridad que surge del uso de nodos comunitarios de npm, que, según dijo, pueden ejecutar acciones maliciosas en la máquina en la que se ejecuta el servicio. En instancias n8n autohospedadas, se recomienda deshabilitar los nodos de la comunidad configurando N8N_COMMUNITY_PACKAGES_ENABLED en ficticio.
“Los nodos comunitarios se ejecutan con el mismo nivel de golpe que el propio n8n. Pueden descifrar variables de entorno, penetrar al sistema de archivos, realizar solicitudes de red salientes y, lo más importante, percibir claves API descifradas y tokens OAuth durante la ejecución del flujo de trabajo”, dijeron los investigadores Kiran Raj y Henrik Plate. “No hay zona de pruebas ni aislamiento entre el código del nodo y el tiempo de ejecución de n8n”.
“Adecuado a esto, un solo paquete npm astuto es suficiente para obtener una visibilidad profunda de los flujos de trabajo, robar credenciales y comunicarse externamente sin suspender sospechas inmediatas. Para los atacantes, la dependencia de suministro de npm ofrece un punto de entrada silencioso y mucho efectivo a los entornos n8n”.
