Um ataque à cadeia de suprimentos foi identificado na plataforma de automação de fluxos de trabalho n8n, onde invasores subiram oito pacotes no registro npm, disfarçados como integrações legítimas, para roubar credenciais OAuth de desenvolvedores. Um dos pacotes, chamado “n8n-nodes-hfgjf-irtuinvcm-lasdqewriit”, imita uma integração do Google Ads e solicita que os usuários vinculem suas contas de publicidade, desviando as credenciais para servidores controlados pelos atacantes.
De acordo com um relatório da Endor Labs, essa campanha representa uma nova escalada nas ameaças à cadeia de suprimentos. Diferente de malwares tradicionais no npm, que geralmente visam credenciais de desenvolvedores, este ataque explora plataformas de automação de fluxos de trabalho que funcionam como cofres centralizados de credenciais, armazenando tokens OAuth, chaves de API e credenciais sensíveis de serviços integrados como Google Ads, Stripe e Salesforce.
Os pacotes identificados, agora removidos, incluem:
-
n8n-nodes-hfgjf-irtuinvcm-lasdqewriit (4.241 downloads, autor: kakashi-hatake)
-
n8n-nodes-ggdv-hdfvcnnje-uyrokvbkl (1.657 downloads, autor: kakashi-hatake)
-
n8n-nodes-vbmkajdsa-uehfitvv-ueqjhhhksdlkkmz (1.493 downloads, autor: kakashi-hatake)
-
n8n-nodes-performance-metrics (752 downloads, autor: hezi109)
-
n8n-nodes-gasdhgfuy-rejerw-ytjsadx (8.385 downloads, autor: zabuza-momochi)
-
n8n-nodes-danev (5.525 downloads, autor: dan_even_segler)
-
n8n-nodes-rooyai-model (1.731 downloads, autor: haggags)
-
n8n-nodes-zalo-vietts (4.241 downloads, autores: vietts_code e diendh)
Os desenvolvedores são aconselhados a auditar pacotes antes de instalá-los, verificar metadados em busca de anomalias e usar integrações oficiais do n8n. A n8n alertou sobre os riscos de segurança ao usar nós comunitários do npm, que podem introduzir mudanças prejudiciais ou executar ações maliciosas. Em instâncias auto-hospedadas do n8n, recomenda-se desativar nós comunitários configurando N8N_COMMUNITY_PACKAGES_ENABLED como falso.
Este incidente marca a primeira vez que uma ameaça à cadeia de suprimentos visa explicitamente o ecossistema n8n, explorando a confiança nas integrações comunitárias. Os pesquisadores Kiran Raj e Henrik Plate destacaram que “nós comunitários operam com o mesmo nível de acesso que o próprio n8n, podendo ler variáveis de ambiente, acessar o sistema de arquivos e receber chaves de API e tokens OAuth descriptografados durante a execução do fluxo de trabalho”.
Fonte:https://thehackernews.com/2026/01/n8n-supply-chain-attack-abuses.html
