nulltropic

NULLTROPIC

n8n Community Nodes: Quando o Plugin é o Atacante (Supply Chain Attack)

Nos últimos meses, o ecossistema de community nodes do n8n virou alvo direto de uma campanha de supply chain que publica pacotes npm maliciosos se passando por integrações legítimas (Google Ads, Stripe, Salesforce etc.). Esses plugins roubam tokens OAuth e API keys do cofre de credenciais do n8n e exfiltram tudo para servidores de C2, explorando exatamente o que torna o n8n poderoso: centralizar automações e segredos em um único lugar.

Como o Ataque Funciona: Do Clique à Exfiltração

A cadeia de ataque é sofisticada e silenciosa, seguindo cinco etapas principais:

  1. Publicação Maliciosa: Atacantes publicam pacotes no npm com nomes que mimetizam integrações populares, como conectores de Google Ads ou Stripe.
  2. Instalação pelo Admin: O administrador do n8n instala o pacote como um community node, confiando na aparência legítima da integração.
  3. Coleta de Credenciais: O node exibe interfaces de configuração normais. Quando o usuário insere tokens ou faz o fluxo OAuth, os segredos são salvos no banco de dados do n8n.
  4. Decriptação em Runtime: Como os community nodes rodam com o mesmo privilégio do core do n8n e sem sandboxing, o código malicioso pode usar a master key para decriptar os tokens em memória.
  5. Exfiltração: Durante a execução dos workflows, o node envia os tokens decriptados para o servidor do atacante via HTTP POST.

O Problema Estrutural: Falta de Sandboxing

O sucesso desse ataque reside no modelo de confiança do n8n. Community nodes possuem acesso total ao host, incluindo leitura de variáveis de ambiente, acesso ao sistema de arquivos e a capacidade de fazer requisições de rede arbitrárias. Na prática, um pacote malicioso se torna um implante de alto privilégio dentro do orquestrador.

Como Saber se Você foi Afetado?

Se você utiliza instâncias self-hosted, especialmente entre as versões 1.65.0 e 1.120.4, deve realizar uma auditoria imediata:

  • Audite Nodes Instalados: Verifique o diretório n8n-nodes-* e cruze os pacotes instalados com IOCs e nomes suspeitos.
  • Logs de Rede: Procure por chamadas de rede originadas do host do n8n para domínios desconhecidos ou não relacionados às APIs oficiais das integrações.
  • Monitoramento de Contas: Verifique acessos anômalos em plataformas como Google Ads ou CRM por IPs não reconhecidos.

Boas Práticas e Mitigação

Para proteger seu motor de automação, considere as seguintes medidas:

  • Desabilite Nodes Comunitários: Em ambientes sensíveis, use N8N_COMMUNITY_PACKAGES_ENABLED=false.
  • Priorize Integrações Nativas: Use sempre os nodes “core” mantidos pela equipe oficial do n8n.
  • Isolamento de Rede: Coloque o n8n em uma rede segmentada com políticas de saída (egress) restritas.
  • Auditoria de Código: Antes de instalar qualquer node da comunidade, revise o código em busca de funções dinâmicas como eval ou requisições suspeitas.

Se o n8n é o cérebro da sua automação, cada community node é uma extensão com acesso completo. Não conecte qualquer “cabo” no seu core switch sem verificação prévia.

Pesquisa e análise: N00TROPX1C — NULLTROPIC, 2026.

N00TROPX1C

,

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *