Cisco Talos rapporterte onsdag at angripere systematisk misbruker n8n-webhooks som leveringskanal for malware og enhets-fingerprinting. Veksten fra januar 2025 til mars 2026 er 686 prosent i antall e-poster som inneholder en n8n-webhook-URL, og phishing-kampanjene retter seg både mot community-hostede instanser og den kommersielle skytjenesten.
Hvorfor treffer dette så hardt? n8n-webhooks fungerer som «reverse APIs» med HTTPS-endepunkter på domener brannmurer og e-postfiltre stoler på. Når en ansatt får en e-post med en OneDrive-lignende lenke som peker på en n8n-subdomene, klikker vedkommende uten nøling. CAPTCHA-siden som dukker opp ser ut som legitim verifisering, men er bare en trigger for nedlasting av en kjørbar fil.
«Angriperne utnytter plattformens pålitelige domene for å maskere den faktiske kilden til ondsinnede payloader.» — Cisco Talos, i rapporten
I den første kampanjen Talos analyserte var payloaden en modifisert Datto RMM-klient pakket som et selvutpakkende arkiv. Den etablerer persistent forbindelse til angriperkontrollerte relayer og gir reell fjerntilgang til maskinen. Kampanje nummer to leverte en Windows Installer-fil beskyttet av Armadillo-pakker for anti-analyse, som installerte en bakdør-versjon av ITarian Endpoint Management og eksfiltrerte systemdata via Python-moduler mens en falsk installasjonsindikator vistes til brukeren.
Det finnes også en stillere bruk. Talos observerer at angripere legger usynlige tracking-piksler i HTML-e-poster som peker mot n8n-webhooks. Når mottakeren åpner meldingen sender klienten automatisk en HTTP GET, og angriperen får IP-adresse, bekreftelse på at kontoen er aktiv, og telemetri uten at ofret trenger å klikke på noe som helst.
«Sikkerhetsteam kan ikke basere seg på domene-blokkering. Å svarteliste n8ns sky-infrastruktur ville alvorlig forstyrre legitime forretningsoperasjoner.» — Cisco Talos
For deg som kjører n8n selvhostet, eller har teamet på n8n Cloud, er dette praktisk relevant. Webhook-endepunktene dine er potensielle angrepsvektorer hvis noen lekker en URL, eller hvis du har latt en workflow være åpen mot internett uten autentisering.
Hva bør du gjøre?
- Aktiver webhook-autentisering på alle produksjons-workflows. n8n støtter Basic Auth og Header Auth. Bruk minst én av dem, aldri åpne endepunkter uten beskyttelse.
- Overvåk utgående trafikk mot
*.app.n8n.cloudog egne n8n-instanser fra uventede kilder i nettverket. Talos anbefaler atferds-basert deteksjon, ikke domene-blokkering. - Roter webhook-URL-er som har vært aktive lenge. Hvis en URL har lekket i en gammel e-post eller Slack-melding, bytt den før den brukes mot deg.
Bakgrunn
n8n er en åpen kildekode workflow-plattform som konkurrerer med Zapier og Make, populær blant team som vil selvhoste sin automasjon. Free-brukere på n8n Cloud får en unik subdomene, og det er nettopp denne tillits-arkitekturen angriperne utnytter.