Популярна платформа автоматизації робочих процесів n8n, яку компанії активно використовують для оркестрації ІІ-сервісів та інтеграції веб-додатків, опинилася в центрі масштабних фішингових кампаній. За даними дослідників Cisco Talos, кіберзлочинці системно експлуатують інфраструктуру n8n для розсилки шкідливих листів, доставки малварі та непомітного збору технічної інформації про пристрої жертв.
Що таке n8n і чому low-code платформи приваблюють зловмисників
n8n належить до класу low-code / no-code платформ автоматизації. Вона дає змогу без глибокого програмування поєднувати веб-сервіси, API та моделі штучного інтелекту, будувати агентні системи й автоматизувати рутинні задачі через візуальні робочі процеси (workflows).
Для розробників доступний керований хмарний сервіс: після реєстрації користувач отримує інстанс формату <account-name>.app.n8n.cloud та може запускати свої сценарії без розгортання власної інфраструктури. Саме ця модель SaaS з публічними URL робить платформу зручною не лише для бізнесу, а й для кіберзлочинців.
Ключовий елемент, який став об’єктом зловживань, — це вебхуки n8n. Вебхук — це спеціальний URL, на який сторонні сервіси надсилають HTTP-запит, тим самим запускаючи workflow. У відповідь n8n повертає сформований контент, зазвичай у вигляді повноцінної HTML-сторінки. Якщо жертва переходить за такою адресою з листа, її браузер обробляє відповідь так само, як будь-яку іншу веб-сторінку.
Як вебхуки n8n стали інструментом фішингових кампаній
За спостереженнями Cisco Talos, публічні URL вебхуків на піддоменах *.app.n8n.cloud активно використовуються у фішингових розсилках щонайменше з жовтня 2025 року. Перевага для атакуючих очевидна: трафік проходить через інфраструктуру з високою репутацією, що ускладнює фільтрацію на основі доменних списків та репутаційних показників.
Аналітики зафіксували стрімке зростання таких кампаній: кількість листів із посиланнями на вебхуки n8n у березні 2026 року була приблизно на 686% більшою, ніж у січні 2025-го. Це свідчить про швидке впровадження цієї техніки різними фішинговими групами.
Доставка малварі через вебхуки n8n під виглядом спільних документів
В одній із задокументованих кампаній зловмисники розсилали листи з темою, що імітувала запрошення до спільного доступу до документа. Основна дія для користувача — клік по посиланню, яке насправді вказувало на вебхук n8n.
Після переходу жертва бачила сторінку з псевдо-CAPTCHA. Підтвердження «перевірки» слугувало тригером для прихованого виконання JavaScript-коду, який у фоновому режимі завантажував шкідливий файл уже з іншого ресурсу. Весь сценарій був загорнутий у HTML-відповідь, сформовану n8n, і для браузера виглядав як нормальна активність з домену app.n8n.cloud.
Цільовим навантаженням виступали виконувані файли або MSI-інсталятори, що розгортали модифіковані версії легітимних RMM-рішень (Remote Monitoring and Management), зокрема Datto та ITarian Endpoint Management. Надалі ці інструменти віддаленого адміністрування використовувались як легальний канал для встановлення стійкого віддаленого доступу та зв’язку з C2-інфраструктурою атакуючих.
Device fingerprinting і tracking pixels на базі n8n
Другий формат зловживань пов’язаний не зі швидкою інфекцією, а з таємним збором телеметрії про жертв. У розсилках застосовувався невидимий tracking pixel — однопіксельне зображення, URL якого вів на вебхук n8n.
Щойно лист відкривався у поштовому клієнті, останній автоматично надсилав HTTP GET-запит на адресу вебхука. Разом із запитом передавалися параметри відстеження: адреса отримувача, інформація про поштовий клієнт, іноді — дані про ОС та браузер. Таким чином зловмисники здійснювали device fingerprinting, підтверджували активність конкретних користувачів, сегментували бази та виділяли найбільш перспективні цілі для подальших атак (наприклад, для цільового фішингу або розгортання ransomware).
Ризики low-code платформ та рекомендації з кібербезпеки
Кейс із n8n демонструє ширшу тенденцію: low-code і no-code платформи перетворюються на привабливий інструмент для кіберзлочинців. Гнучкість інтеграцій, простий доступ до поштових сервісів і API, а також репутаційна довіра до популярних хмарних доменів створюють зручне середовище для прихованої доставки фішингового контенту й малварі.
Організаціям, які інтенсивно використовують SaaS та автоматизацію, доцільно:
- посилити аналіз та фільтрацію URL на поштових шлюзах, включно з доменами відомих хмарних сервісів, а не покладатися лише на їхню репутацію;
- застосовувати sandbox-аналіз HTML-вкладень і підозрілих посилань для виявлення динамічної активності (приховані завантаження, встановлення RMM-інструментів тощо);
- за замовчуванням обмежувати завантаження зовнішніх зображень і tracking pixel у корпоративній пошті, дозволяючи їх лише для перевірених відправників;
- впроваджувати поведенковий моніторинг на кінцевих точках з фокусом на нетипове використання засобів віддаленого адміністрування та підозрілу мережеву активність;
- регулярно проводити тренінги з протидії фішингу, наголошуючи, що наявність «знайомого» або авторитетного домену не гарантує безпечності посилання.
У міру зростання популярності low-code та ІІ-платформ компаніям варто переосмислити підхід до довіри в хмарній інфраструктурі. Будь-який зовнішній сервіс, незалежно від його репутації, може бути використаний як канал для фішингу, доставки малварі чи непомітного моніторингу. Підвищення рівня контролю інтеграцій, моніторингу автоматизованих сценаріїв та навчання співробітників має стати пріоритетом для тих, хто прагне зменшити ризики, пов’язані з новими хвилями атак через low-code екосистеми.
