Популярная платформа автоматизации рабочих процессов n8n, активно используемая разработчиками и компаниями для оркестрации ИИ-сервисов и интеграции веб-приложений, оказалась в центре новой волны фишинговых кампаний. По данным исследователей Cisco Talos, киберпреступники научились использовать инфраструктуру n8n для рассылки вредоносных писем, доставки малвари и скрытого сбора информации об устройствах жертв.
Что такое n8n и почему он интересен киберпреступникам
Платформа n8n относится к классу low-code/ no-code систем автоматизации. Она позволяет без значительного объёма программирования связывать между собой веб-сервисы, API и ИИ-модели, строить агентные системы и выполнять повторяющиеся задачи по заранее заданным правилам. Для разработчиков доступен управляемый облачный сервис: зарегистрировавшись, пользователь получает аккаунт вида <account-name>.app.n8n.cloud и может запускать свои рабочие процессы (workflows) без развертывания собственной инфраструктуры.
Ключевая функция, которой заинтересовались атакующие, — это вебхуки n8n. Вебхук — это по сути «обратный API»: специальный URL, на который внешние приложения могут отправлять запросы и тем самым запускать рабочий процесс. После получения запроса workflow выполняется и возвращает результат в виде HTTP-ответа. Если такой URL открывается из письма, браузер жертвы фактически становится «клиентским приложением», которое обрабатывает полученный HTML-контент как обычную веб-страницу.
Злоупотребление вебхуками n8n в фишинговых атаках
По наблюдениям Cisco Talos, публично доступные URL вебхуков на поддоменах вида *.app.n8n.cloud активно используются в фишинговых кампаниях как минимум с октября 2025 года. Преимущество для злоумышленников очевидно: трафик идёт через доверенную инфраструктуру, что повышает шансы обойти классические фильтры спама и систем защиты электронной почты, ориентированные на репутацию доменов.
Исследователи зафиксировали резкий рост подобных рассылок: объём писем с URL вебхуков n8n в марте 2026 года оказался примерно на 686% выше, чем в январе 2025-го. Это свидетельствует о быстром распространении техники среди фишинговых группировок.
Доставка вредоносных файлов под видом общих документов
В одной из изученных кампаний злоумышленники рассылали письма с темой, имитирующей уведомление о совместном доступе к документу. В теле письма размещалась ссылка на вебхук n8n. При переходе пользователь попадал на страницу, где отображалась CAPTCHA. Завершение проверки служило триггером: в фоновом режиме активировался JavaScript-код, который загружал вредоносный файл уже с внешнего ресурса.
Поскольку весь сценарий обёрнут в HTML-документ, загруженный через n8n, для браузера это выглядело как законная активность с домена app.n8n.cloud. Это усложняет детектирование на уровне почтовых шлюзов и систем фильтрации контента, которые доверяют популярным SaaS-сервисам.
Целевой полезной нагрузкой в таких атаках становились исполняемые файлы или MSI-инсталляторы, которые развёртывали модифицированные версии легитимных RMM-инструментов (Remote Monitoring and Management), включая Datto и ITarian Endpoint Management. Эти средства администрирования затем использовались злоумышленниками как законный канал для установления постоянного удалённого доступа к системе и связи с C2-серверами.
Fingerprinting и отслеживающие пиксели на базе n8n
Второй заметный сценарий злоупотребления n8n связан не с немедленной доставкой малвари, а с сбором информации о жертвах (device fingerprinting). В письма встраивался невидимый элемент — так называемый tracking pixel, то есть однопиксельное изображение, размещённое по URL вебхука n8n.
Как только сообщение открывалось в почтовом клиенте, происходил автоматический HTTP GET-запрос к этому URL. Вместе с запросом передавались параметры отслеживания, например адрес электронной почты получателя, тип клиента, возможные данные о системе. Это позволяло атакующим подтверждать активность конкретного пользователя, сегментировать базы и выбирать наиболее интересные цели для дальнейших атак.
Риски low-code платформ и практические рекомендации по защите
Сценарии, описанные Cisco Talos, демонстрируют общую тенденцию: low-code и no-code платформы, изначально предназначенные для повышения продуктивности и упрощения интеграций, становятся привлекательной мишенью для злоумышленников. Гибкость, простота подключения к почтовым сервисам и API, а также «репутационный кредит доверия» к популярным доменам создают благоприятную среду для скрытой доставки фишингового контента и малвари.
Организациям, активно использующим облачные сервисы и автоматизацию, целесообразно:
- усилить аналитику и фильтрацию URL в почтовых шлюзах, включая домены легитимных SaaS-платформ;
- применять sandbox-исполнение HTML-вложений и подозрительных ссылок для выявления динамического поведения (скрытых загрузок, RMM-инсталляторов и т.п.);
- ограничивать или по умолчанию блокировать отображение внешних изображений и tracking pixel в корпоративной почте;
- внедрять поведенческий мониторинг на конечных точках с акцентом на нетипичное использование средств удалённого администрирования;
- проводить регулярное обучение сотрудников по распознаванию фишинговых писем, даже если они ссылаются на известные и «доверенные» домены.
По мере распространения low‑code и ИИ-платформ вопрос безопасности их использования выходит на первый план. Те же инструменты, которые экономят часы рутинной работы разработчикам и IT-командам, при отсутствии надлежащих мер контроля легко превращаются в канал для автоматизированной доставки фишинга, малвари и скрытого мониторинга. В интересах компаний и команд безопасности — пересмотреть политики доверия к облачной инфраструктуре, усилить контроль за автоматизацией и интеграциями и выстраивать защиту, исходя из принципа: любой внешний сервис, каким бы популярным он ни был, может быть использован злоумышленниками.
