Um ataque recente à cadeia de suprimentos do n8n, uma plataforma de automação de fluxos de trabalho, foi identificado como responsável por roubar credenciais OAuth de desenvolvedores. Os invasores publicaram oito pacotes no registro npm, disfarçados como integrações para o n8n, com o objetivo de obter tokens OAuth. Um dos pacotes, chamado “n8n-nodes-hfgjf-irtuinvcm-lasdqewriit”, imitava uma integração com o Google Ads, induzindo os usuários a vincularem suas contas de publicidade e, assim, capturando as credenciais para servidores controlados pelos atacantes.
O ataque representa uma nova fase nas ameaças à cadeia de suprimentos, conforme relatado pela Endor Labs. Diferente de malwares tradicionais que visam credenciais de desenvolvedores, esta campanha explorou plataformas de automação que funcionam como cofres centralizados de credenciais, armazenando tokens OAuth, chaves de API e outras informações sensíveis de serviços integrados como Google Ads, Stripe e Salesforce.
Os pacotes maliciosos, que já foram removidos, incluíam nomes como “n8n-nodes-hfgjf-irtuinvcm-lasdqewriit” e “n8n-nodes-gasdhgfuy-rejerw-ytjsadx”. Autores como “kakashi-hatake” e “zabuza-momochi” estavam associados a esses pacotes. Além disso, outros pacotes ainda disponíveis no npm, como “n8n-nodes-gg-udhasudsh-hgjkhg-official”, foram atualizados recentemente, indicando que a campanha pode estar em andamento.
Os desenvolvedores são aconselhados a auditar pacotes antes de instalá-los e a verificar metadados para detectar anomalias. O n8n alertou sobre os riscos de segurança ao usar nós comunitários do npm, que podem introduzir mudanças prejudiciais ou executar ações maliciosas. Em instâncias auto-hospedadas do n8n, recomenda-se desativar nós comunitários configurando a variável N8N_COMMUNITY_PACKAGES_ENABLED como falsa.
Os nós comunitários operam com o mesmo nível de acesso que o n8n, podendo ler variáveis de ambiente, acessar o sistema de arquivos e realizar solicitações de rede. Isso permite que um único pacote malicioso obtenha visibilidade profunda nos fluxos de trabalho, roube credenciais e se comunique externamente sem levantar suspeitas imediatas.
Fonte:https://thehackernews.com/2026/01/n8n-supply-chain-attack-abuses.html
