Злоумышленники загрузили в репозиторий npm вредоносные пакеты, замаскированные под легитимные модули для интеграции. Целью этой кампании, по данным Endor Labs, стало похищение OAuth-токенов разработчиков, с помощью которых можно получить доступ к сервисам вроде Google Ads, Stripe и Salesforce, пишет Securitylab. Вредоносные пакеты имитировали расширения для n8n и отображали привычные формы конфигурации. Пользователям предлагалось авторизовать доступ к своим аккаунтам, после чего токены сохранялись в хранилище платформы и незаметно передавались на сервер злоумышленников. Таким образом, атака затронула не просто отдельные учётные данные, а ключевую особенность n8n — централизованное хранилище чувствительной информации, используемой в десятках подключённых сервисов. В общей сложности в кампании использовались восемь вредоносных пакетов, включая такие, как «n8n-nodes-hfgjf-irtuinvcm-lasdqewriit», «n8n-nodes-gasdhgfuy-rejerw-ytjsadx» и «n8n-nodes-danev». Авторами указаны пользователи под псевдонимами «kakashi-hatake», «zabuza-momochi», «dan_even_segler» и другие. Некоторые из них связаны и с другими библиотеками, которые до сих пор доступны для загрузки. При этом анализ части этих компонентов не выявил вредоносных функций, однако один из них, «n8n-nodes-zl-vietts», отмечен как использующий компонент с историей заражений. Показательно, что одно из расширений, ранее связанное с вредоносной активностью — «n8n-nodes-gg-udhasudsh-hgjkhg-official» — было обновлено всего за несколько часов до публикации отчёта Endor Labs, что может свидетельствовать о продолжающейся кампании. После установки вредоносные модули работали как обычные узлы сообщества n8n: отображали экраны настроек, сохраняли токены OAuth в зашифрованном виде, а затем расшифровывали их и передавали на внешний сервер при запуске сценария. Это первый зафиксированный случай, когда атака на цепочку поставок была направлена именно на экосистему n8n. Основной уязвимостью стала избыточная доверенность к сторонним расширениям, размещённым в открытом доступе. Команда n8n уже заявила об угрозе, связанной с использованием узлов сообщества из репозитория npm. Такие модули имеют те же права доступа, что и сама платформа: они могут обращаться к переменным окружения, файловой системе, выполнять сетевые запросы и, самое главное, получать расшифрованные токены. Отсутствие изоляции кода и возможности запуска в песочнице делает подобные узлы потенциально опасными.
Недавняя атака на цепочку поставок затронула платформу автоматизации рабочих процессов n8n
Данные о правообладателе фото и видеоматериалов взяты с сайта «Information Security», подробнее в Условиях использования
Анализ
×