Pesquisadores identificaram uma campanha de supply chain que infiltrou pacotes npm maliciosos no ecossistema de nodes comunitários da plataforma de automação n8n, permitindo roubo silencioso de credenciais OAuth durante a execução de workflows.
Descoberta e escopo
Relatório da EndorLabs documenta ao menos oito pacotes npm maliciosos direcionados à comunidade de nodes da n8n. O pacote principal, identificado como n8n-nodes-hfgjf-irtuinvcm-lasdqewriit, chegou a registrar mais de 3.400 downloads semanais antes de sua remoção do registro npm. A cadeia de eventos foi acompanhada por avisos de segurança, incluindo a referência GHSA-77g5-qpc3-x24r.
Vetor e mecanismo de exfiltração
Segundo a investigação, o pacote malicioso se passava por uma integração legítima do Google Ads e apresentava um formulário para submissão de credenciais OAuth. Ao submeter os dados, o código mal-intencionado os enviava silenciosamente a servidores controlados pelos atacantes no momento em que o workflow era executado.
Por que a n8n é um alvo atraente
A análise destaca um aspecto estrutural que aumenta o risco: nodes comunitários na n8n podem rodar com nível de acesso ao sistema operacional, ler variáveis de ambiente e acessar o sistema de arquivos. Na prática, a plataforma funciona como um cofre centralizado de tokens OAuth e chaves de API para serviços como Google Ads, Stripe e Salesforce — ou seja, comprometer um único node comunitário pode dar visibilidade ou acesso à cadeia inteira de integrações de uma organização.
Evidências e limitações
EndorLabs confirmou a remoção de múltiplos pacotes do registro npm e recomenda atribuir prioridade a nodes oficiais. Os pesquisadores apontam sinais indicadores de pacotes maliciosos: nomes estranhos, descrições pobres e baixas contagens de download. A investigação documenta o comportamento observado — roubo de credenciais via formulário falsificado — mas não fornece um inventário público de clientes afetados ou evidência de exfiltração em larga escala para instâncias específicas de n8n.
Mitigações recomendadas
- Priorizar nodes oficiais e evitar pacotes comunitários sem auditoria.
- Auditar pacotes antes de instalar: checar descrição, nome, histórico e contagem de downloads.
- Isolar instâncias n8n e restringir privilégios: usar contas de serviço com permissões mínimas.
- Monitorar tráfego de saída das instâncias n8n e aplicar regras de rede que limitem conexões a destinos não aprovados.
Repercussão e observações finais
O incidente é mais um exemplo de como plataformas de automação e o ecossistema de integrações comunitárias ampliam a superfície de ataque e elevam o risco de comprometer segredos organizacionais. EndorLabs enfatiza o trade-off entre conveniência e segurança: conforme fluxos automatizados se tornam núcleo das operações, a higiene de supply chain e controles de rede passam a ser requisitos operacionais essenciais.
Fonte do alerta: EndorLabs; rastreamento de remoção em registros npm e avisos de segurança associados.