16.04.2026
1 хв
212
Зловмисники вже кілька місяців активно використовують платформу автоматизації n8n для проведення фішингових кампаній і доставки шкідливого ПЗ. Кампанія триває щонайменше з жовтня 2025 року, а обсяги атак стрімко зростають.
Зловмисники почали активно використовувати платформу автоматизації n8n для проведення фішингових атак і доставки шкідливого ПЗ. За даними дослідників, кампанії тривають щонайменше з жовтня 2025 року і набирають обертів.
У Cisco Talos пояснюють, що атакуючі використовують довірену інфраструктуру сервісу, щоб обходити стандартні фільтри безпеки. У результаті інструмент, створений для автоматизації роботи, перетворюється на канал для розповсюдження шкідливих програм і отримання віддаленого доступу до систем.
«Використовуючи довірену інфраструктуру, ці зловмисники обходять традиційні фільтри безпеки, перетворюючи інструменти продуктивності на засоби доставки для постійного віддаленого доступу», – зазначили дослідники Cisco Talos Шон Галлахер та Омід Мірзаї.
n8n – це платформа, яка дозволяє об’єднувати веб-сервіси, API та інструменти штучного інтелекту в єдині автоматизовані процеси. Користувачі можуть швидко запускати такі сценарії через хмарний сервіс, отримуючи власний домен виду <ім’я>.app.n8n.cloud без потреби розгортати інфраструктуру самостійно.
Ключову роль у цих атаках відіграють вебхуки. Вони використовуються для прийому даних і запуску автоматичних процесів через спеціальні URL. Саме такі посилання з доменів *.app.n8n.cloud зловмисники почали масово використовувати у фішингових кампаніях.
Як пояснюють дослідники, вебхук працює як «зворотний API». Він дозволяє одній системі передавати дані іншій у реальному часі. Якщо користувач відкриває таке посилання з листа, його браузер фактично стає частиною цього процесу і обробляє відповідь як звичайну веб-сторінку. Це дає атакуючим важливу перевагу. Шкідливий контент виглядає так, ніби він надходить із легітимного домену, що значно ускладнює його виявлення.
За даними Talos, кількість листів із такими посиланнями різко зросла. У березні 2026 року їх було приблизно на 686% більше, ніж у січні 2025 року.
Одна з типових схем виглядає так: жертві надсилають лист із нібито спільним документом. Усередині є посилання на вебхук n8n. Після переходу користувач бачить сторінку з CAPTCHA. Коли він її проходить, запускається завантаження шкідливого файлу з іншого сервера.
Дослідники звертають увагу, що вся логіка атаки захована всередині JavaScript у HTML-сторінці. Через це браузер сприймає завантаження як таке, що відбувається з домену n8n.
Кінцева мета таких кампаній – доставити виконуваний файл або MSI-інсталятор. Зазвичай це змінені версії легітимних інструментів віддаленого адміністрування, наприклад Datto або ITarian. Через них зловмисники встановлюють постійне з’єднання з сервером управління і отримують доступ до системи. Є і другий сценарій використання n8n. Йдеться про збір даних про користувача. У лист вбудовують невидимий піксель, який завантажується з вебхука. Щойно жертва відкриває лист, відправляється запит із параметрами, які дозволяють ідентифікувати її, зокрема електронною адресою.
«Ті самі робочі процеси, створені для автоматизації, тепер використовуються для доставки шкідливого ПЗ і збору даних завдяки своїй гнучкості та простоті інтеграції», – підкреслили в Talos.
Експерти додають, що з розвитком low-code платформ відповідальність за безпеку лягає на команди, які їх використовують. Інакше такі інструменти можуть швидко перетворитися з корисних сервісів на повноцінні інструменти для атак.
