n8n jako cichy nośnik phishingu i malware. Gdy legalna automatyzacja staje się infrastrukturą ataku

2026-04-16

TL;DR

Atakujący zaczęli wykorzystywać n8n, czyli legalną platformę do automatyzacji workflow, jako warstwę dostarczania phishingu, malware i mechanizmów śledzących. To ważne, bo problem nie polega na klasycznej podrobionej domenie, ale na nadużyciu zaufanej infrastruktury, która dla użytkownika i części zabezpieczeń może wyglądać wiarygodnie. Oznacza to kolejny krok w stronę phishingu, który coraz rzadziej przypomina spam, a coraz częściej wygląda jak zwykły element legalnego ekosystemu usług.

O co chodzi w tej sprawie

Materiał Security Affairs opiera się na ustaleniach Cisco Talos, które pokazują, że przestępcy nadużywają platformy n8n do prowadzenia kampanii phishingowych, dostarczania złośliwego oprogramowania i fingerprintingu urządzeń. Nie chodzi tu o przejęcie samej platformy, ale o wykorzystanie jej legalnych funkcji do nielegalnych celów.

To istotne rozróżnienie. n8n jest normalnym narzędziem low-code do budowania automatyzacji i integracji. Jak pokazuje oficjalna dokumentacja n8n, webhook może uruchamiać workflow po otrzymaniu żądania i zwracać dane do aplikacji wywołującej. W legalnym użyciu to zwykły mechanizm integracyjny. W rękach atakującego może stać się wygodnym punktem pośrednim między mailem a ładunkiem końcowym.

Dlaczego to działa

Problem polega na tym, że webhook nie musi wyglądać podejrzanie. Cisco Talos opisał, że użytkownicy n8n mogą tworzyć własne subdomeny w ramach infrastruktury n8n.cloud, a atakujący wykorzystują właśnie takie adresy jako warstwę pośrednią. Dzięki temu link w wiadomości nie prowadzi od razu do oczywiście podejrzanej domeny, tylko do infrastruktury, która z zewnątrz wygląda jak legalna usługa. To z kolei zwiększa szansę, że odbiorca kliknie, a część klasycznych filtrów nie zareaguje wystarczająco agresywnie.

To bardzo przypomina zjawisko, które opisano już wcześniej w tekście o phishingu przez legalne powiadomienia GitHub i Jira. Tam również problemem nie była fałszywa, tandetna imitacja, ale nadużycie prawdziwej platformy i jej reputacji technicznej.

Jak wyglądał jeden z opisanych scenariuszy

Według Cisco Talos jedna z kampanii wykorzystywała mail udający współdzielony folder Microsoft OneDrive. Link w wiadomości prowadził do webhooka hostowanego na n8n. Po kliknięciu użytkownik widział stronę z CAPTCHA, a po jej rozwiązaniu pojawiał się przycisk pobrania. Z perspektywy użytkownika cały proces wyglądał tak, jakby treść pochodziła z domeny n8n, choć właściwy ładunek był pobierany z zewnętrznego hosta.

W jednym z przypadków ofiara dostawała plik DownloadedOneDriveDocument.exe, który podszywał się pod samorozpakowujące archiwum. Po uruchomieniu instalował zmodyfikowaną wersję Datto RMM i wykonywał łańcuch poleceń PowerShell, konfigurując trwałość przez zaplanowane zadanie. W innym wariancie kampanii po CAPTCHA dostarczany był złośliwie zmodyfikowany instalator MSI, który wdrażał ITarian Endpoint RMM jako backdoor i uruchamiał moduły Pythona do eksfiltracji danych.

To pokazuje, że phishing nie kończy się tu na wyłudzeniu kliknięcia. Kliknięcie jest tylko początkiem drogi do trwałego dostępu, zdalnego zarządzania systemem i dalszej kradzieży danych.

n8n nie służyło tylko do dostarczania malware

Talos opisał też drugi wariant nadużycia, czyli fingerprinting urządzeń. W tym scenariuszu przestępcy osadzali w wiadomości niewidoczny obrazek lub tracking pixel, który ładował się z webhooka n8n. Gdy klient pocztowy pobierał obraz, do webhooka trafiało żądanie z parametrami pozwalającymi powiązać otwarcie wiadomości z konkretnym odbiorcą.

To z pozoru drobiazg, ale ma duże znaczenie. Atakujący dostaje potwierdzenie, że adres jest aktywny, wiadomość została otwarta, a kampania może przejść do kolejnego etapu. Oznacza to lepszą selekcję ofiar i bardziej precyzyjne sterowanie dalszym phishingiem.

Co ten przypadek mówi o współczesnym phishingu

Najciekawsze w tej historii jest to, że nie mamy tu klasycznego obrazu phishingu jako prostego maila z podejrzaną domeną. Mamy legalną platformę, zaufaną infrastrukturę, automatyzację workflow i dynamiczne dostarczanie treści. To właśnie dlatego taki scenariusz dobrze wpisuje się w szerszy trend opisany we wpisie Industrializacja phishingu. Jak model PhaaS zamienia pojedynczy atak w pipeline oszustwa.

Coraz częściej nie chodzi już o samą wiadomość. Chodzi o cały łańcuch dostarczenia, selekcji ofiary, fingerprintingu, pobrania ładunku i utrzymania dostępu. Legalne narzędzia SaaS, platformy automatyzacji i dobrze znane domeny zaczynają pełnić rolę infrastruktury pośredniej. To utrudnia obronę, bo organizacja nie może po prostu zablokować wszystkiego, co wygląda nowocześnie albo chmurowo.

Dlaczego firmy powinny potraktować ten temat poważnie

Największy problem polega na tym, że użytkownik coraz częściej nie dostaje nic, co wygląda jak oczywiste oszustwo. Dostaje wiadomość, link albo ekran, który mieści się w znanym kontekście technicznym. Tak samo było w kampaniach z legalnymi powiadomieniami SaaS, tak samo bywa przy nadużyciu usług do zdalnego wsparcia, a teraz widać to także przy automatyzacji workflow.

Dla zespołów bezpieczeństwa to oznacza, że sama analiza reputacji domeny przestaje wystarczać. Jeśli ruch trafia do legalnej platformy i dopiero tam uruchamiany jest dalszy workflow, detekcja musi patrzeć szerzej: na zachowanie użytkownika, nietypowe pobrania, uruchomienie RMM, ciągi PowerShell i relacje między mailem, przeglądarką a endpointem.

Dla użytkowników wniosek jest równie prosty. Nie każda złośliwa wiadomość będzie miała ewidentnie fałszywy link. Czasem problemem będzie właśnie to, że link wygląda za dobrze.

Wpływ awareness

Ten scenariusz dobrze pokazuje, dlaczego awareness nie może kończyć się na starej lekcji o błędach ortograficznych i dziwnym adresie domeny. Jeśli organizacja szkoli ludzi wyłącznie z rozpoznawania prymitywnych podróbek, to przygotowuje ich na problem sprzed kilku lat.

Warto tu wrócić do podstaw z tekstu Co to jest phishing, ale równie ważne jest uzupełnienie tego o nowoczesne warianty dostarczenia treści. Dobrze pasuje tu też materiał o złośliwych załącznikach w mailach z fakturą w ZIP, bo mechanizm psychologiczny pozostaje podobny: odbiorca ma zrobić coś szybko, bez pełnej refleksji, w znanym kontekście biznesowym.

Co warto zrobić praktycznie

Po stronie bezpieczeństwa warto monitorować nie tylko ewidentnie złośliwe domeny, ale też nietypowe użycie legalnych platform automatyzacji, zwłaszcza jeśli organizacja sama z nich nie korzysta. Cisco Talos zwraca uwagę, że nie zawsze sensowne jest blokowanie całych domen takich jak n8n.cloud, bo może to uderzyć w legalne procesy. Dużo lepsze może być wykrywanie zachowań, na przykład nieoczekiwanego ruchu do takich platform z endpointów, które nie powinny ich używać.

Po stronie awareness warto uczulać pracowników na trzy rzeczy. Po pierwsze, że legalna platforma nie gwarantuje legalnej intencji. Po drugie, że CAPTCHA nie jest dowodem bezpieczeństwa, tylko coraz częściej elementem scenariusza ataku. Po trzecie, że pobranie pliku po kliknięciu w mail może być tylko pierwszym krokiem do pełnej kompromitacji urządzenia.

Wniosek

Historia z n8n nie jest opowieścią o jednej platformie. To dowód, że współczesny phishing rośnie razem z legalnym ekosystemem SaaS, automatyzacji i narzędzi AI. Napastnicy nie zawsze chcą budować własną infrastrukturę od zera. Coraz częściej wolą przykleić się do tego, co już budzi zaufanie.

I właśnie dlatego ten przypadek jest ważny. Pokazuje, że granica między legalnym workflow a infrastrukturą nadużytą do ataku staje się coraz cieńsza. A skoro tak, to organizacje muszą szkolić ludzi nie tylko z podejrzanych domen, ale też z podejrzanych scenariuszy.

Jeżeli chcesz sprawdzić, czy Twoi pracownicy wychwytują takie sygnały zanim klikną, zacznij od krótkiego quizu phishingowego PHISHLY.