Automatisierungstools, die versprechen, Zeit zu sparen und Apps in Sekunden zu verbinden, werden von Angreifern wieder verwendet, um Phishing und Malware in Mailboxen zu setzen. Laut einem kürzlichen Bericht von Cisco Talos-Forschern haben bösartige Gruppen mit der N8n-Automatisierungsplattform als Versandkanal für Kampagnen begonnen, die sowohl schädliche Lasten zu verteilen suchen als auch zu identifizieren, wer eine Mail mit entfernten Fingerabdrücken öffnet. Das Problem entsteht, wenn legitime Dienste unbeabsichtigt zu einer zuverlässigen Fassade für schädliche Aktivitäten werden. Sie können die Talos-Analyse auf der offiziellen Seite Ihres Blogs überprüfen, um die technischen Details zu sehen, die diesen Missbrauch beschreiben: Analyse von Cisco Talos.
Um zu verstehen, was vor sich geht, müssen Sie sich erinnern, was n8n ist: Es ist eine Flow Automation-Plattform, die es Ihnen erlaubt, APIs, Web-Anwendungen und IA-Modelle zu verbinden, um repetitive Aufgaben auszuführen, ohne dass Sie Ihre eigenen Server montieren müssen. Entwickler können ein verwaltetes Konto erstellen und ohne zusätzliche Kosten einen Cloud-Service erhalten, der jedem Benutzer eine benutzerdefinierte Domain mit einem Typenformat zuweist< nombre-de-account > .app.n8n.cloud. Von dort können Sie Webhooks erstellen, die URLs sind, die erwarten, Daten zu empfangen und dabei eine Folge automatisierter Aktionen zu schießen. Die Informationen, wie diese Webseiten funktionieren, sind auf der N8n Dokumentation.
Webhooks fungieren als eine Art "Reverse API": anstelle einer App, die Informationen ansieht, drängt eine andere App Daten in die URL und führt zu einem Ablauf. Dieses Verhalten ermöglicht es Ihnen, HTML-Inhalte zurückzugeben, die der Browser des Empfängers wie eine normale Seite darstellt. Die Angreifer haben diese Fähigkeit für Browser genutzt, um schädliche Dateien von externen Hosts herunterzuladen, aber vorgestellt, als ob sie aus der zuverlässigen n8n-Domain stammen., die hilft, bestimmte Sicherheitsfilter zu zeichnen, die dem Ruf der Domain vertrauen.
In den beobachteten Kampagnen wurden dieselben Webhook-URLs in E-Mails platziert, die beispielsweise Links zu freigegebenen Dokumenten simulieren. Beim Drücken erreicht das Opfer eine Seite, die eine CAPTCHA zeigt; wenn abgeschlossen, startet ein eingebettetes Skript das Herunterladen eines ausführbaren oder eines MSI-Installators, der auf einem anderen Server gehostet wird. Dieses schädliche Stück ist in der Regel ein modifizierter Installer von legitimen Remote-Management-Tools - Varianten, die bekannte Marktlösungen wie Datto oder ITarian imitieren - und sein ultimatives Ziel ist es, Persistenz und Kommunikation mit Befehls- und Steuerservern zu schaffen.
Neben der Malware-Lieferung verwenden Angreifer n8n, um Informationen zu erhalten, wer die E-Mails öffnet. Durch das Einfügen eines unsichtbaren Bildes oder eines Tracking-Pixel, dessen Ursprung eine Web-Hook-URL ist, die in der n8n-Domain gehostet wird, erzeugt der einfache Akt des Öffnens der Nachricht eine HTTP-Anforderung, die rückverfolgbare Parameter offenbart - wie die Adresse des Empfängers oder Kundendaten. Auf diese Weise wird die Automatisierung, die Arbeit für Entwickler speichern musste, zum Werkzeug zur Automatisierung von Erkennung, Verfolgung und Bedrohungslieferung.
Talos' Daten sind stark über den Trend: Die Präsenz dieser Links in der von ihren Systemen identifizierten Post ist in den analysierten Zeiträumen deutlich gewachsen, was darauf hindeutet, dass die Angreifer eine effiziente Plattform für ihre Kampagnen in n8n gefunden haben. Dieses Muster ist nicht einzigartig zu n8n: im Allgemeinen kann jeder Cloud-Service, der öffentliche URLs bietet und die Fähigkeit, Code auszuführen oder HTML zurückzugeben, versucht werden für bösartige Akteure, die versuchen, ihre Aktionen unter dem Aussehen der legitimen Infrastruktur zu tarnen.
Angesichts solcher Bedrohungen muss die Verteidigungsposition technische Maßnahmen und Organisation kombinieren: Sicherheitsteams müssen die Filter- und Sandboxregeln kritisch überprüfen, die HTML-Inhalte, die von vertrauenswürdigen Domains zurückgegeben werden, analysieren und den Schutz um Remote-Management-Tools erhöhen, da sie ein wiederkehrendes Ziel für Beharrlichkeit sind. Auf der Benutzerseite, die Einhaltung angemessener Misstrauen angesichts unerwarteter Links, die Vermeidung von Downloads von nicht überprüften Seiten und nicht Eingabe von Anmeldeinformationen auf Formen, deren Ursprung unklar ist, bleiben wesentliche Praktiken. Für spezifische Empfehlungen zum Schutz vor Phishing und anderen Social Engineering-Kampagnen bieten die nationalen Cyber-Sicherheits-Agentur-Leitfäden praktische und aktuelle Richtlinien, wie z.B. die von CISA: CISA - Tipps zum Phishing.
Es gibt auch Lehren für Low-Code-Plattform-Anbieter und Produktmanager: begrenzen Sie die standardmäßige öffentliche Exposition von Webhooks, benötigen zusätzliche Überprüfungen für Endpunkte, die HTML zurückgeben, Verhaltensanalysen und Geschwindigkeitsbegrenzungsmechanismen anwenden, und bieten Optionen, um den Ruf der Domains zu validieren, auf die Automatisierungspunkte den Missbrauchsvektor reduzieren können. Sicherheit sollte nicht eine Schicht nach hinzugefügt werden, sondern ein Teil der Gestaltung der Dienste, die Automatisierung erleichtern.
Für Organisationen, die Remote-Management-Tools verwenden oder Automatisierungen in ihren Workflow integrieren, wird empfohlen, Servicekonten zu überprüfen, Anmeldeinformationen zu drehen, atypische ausgehende Verbindungen zu überwachen und Kontrollen zu erstellen, um unbefugte Softwareeinrichtungen zu erkennen. Lieferanten wie Datto und andere, die mit dem RMM-Ökosystem verbunden sind, pflegen Dokumentationen und sichere Praxishinweise; es wird empfohlen, ihre offiziellen Ressourcen zu überprüfen, um zu verstehen, wie diese Lösungen verwendet werden, wenn sie von bösartigen Akteuren manipuliert werden (z.B. öffentliche Informationen über das Internet von Lieferanten wie Milch oder Informatik)
Am Ende ist die Geschichte ein heikles Gleichgewicht: Automatisierungsplattformen bieten echte Vorteile, aber ihre Flexibilität kann ein Risiko werden, wenn die richtigen Steuerungen nicht angenommen werden. Benutzer, Sicherheitsteams und Lieferanten müssen zusammenarbeiten, damit die Werkzeuge, die versprechen, die Arbeit zu beschleunigen, nicht den Weg für die Angreifer bilden. Die Überwachung bleibt die beste Verteidigung: Die Überprüfung der technischen Berichte, nach den Empfehlungen der spezialisierten Unternehmen wie Cisco Talos und die Annahme von bewährten Praktiken, die von den Sicherheitskräften empfohlen werden, wird dazu beitragen, diese Plattformen als Anlage zu halten und nicht als Hintertür.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...