Se ha observado que los actores de amenazas cargan un conjunto de ocho paquetes en el registro npm haciéndose pasar por integraciones dirigidas a la plataforma de automatización del flujo de trabajo n8n para robar las credenciales OAuth de los desarrolladores.
Uno de esos paquetes, llamado ‘n8n-nodes-hfgjf-irtuinvcm-lasdqewriit’, imita la integración de Google Ads, incitando a los usuarios a vincular sus cuentas publicitarias de una forma aparentemente legítima y desviarlas a un servidor bajo el control del atacante.
«Este ataque representa otra expansión de las amenazas a la cadena de suministro», dijo Endor Labs en un informe publicado la semana pasada. «A diferencia del malware npm tradicional, que a menudo apunta a las credenciales de los desarrolladores, esta campaña aprovechó una plataforma de automatización del flujo de trabajo que actúa como un depósito de credenciales centralizado que contiene tokens OAuth, claves API y credenciales confidenciales para docenas de servicios integrados, incluidos Google Ads, Stripe y Salesforce, en un solo lugar».
La lista completa de paquetes identificados que se han eliminado desde entonces es:
n8n-nodes-hfgjf-irtuinvcm-lasdqewriit (4241 descargas, autor: kakashi-hatake) n8n-nodes-ggdv-hdfvcnnje-uyrokvbkl (1657 descargas, autor: kakashi-hatake) n8n-nodes-vbmkajdsa-uehfitvv-ueqjhhksdlkkmz (1493 descargas, autor: kakashi-hatake) n8n-nodes-rendimiento-metrics (752 descargas, autor: hezi109) n8n-nodes-gasdhgfuy-rejerw-ytjsadx (8385 descargas, autor: zabuza-momochi) n8n-nodes-danev (5525 descargas, autor: dan_even_segler) n8n-nodes-rooyai-model (1731 descargas, autor: haggags) n8n-nodes-zalo-vietts (4241 descargas, autor: vietts_code y diendh)
Los usuarios ‘zabuza-momochi’, ‘dan_even_segler’ y ‘diendh’ también están vinculados a otras bibliotecas que todavía están disponibles para descargar al momento de escribir este artículo.
Se desconoce si contienen funciones maliciosas similares. Sin embargo, la evaluación de los primeros tres paquetes con ReversingLabs Spectra Assure no encontró problemas de seguridad. En el caso de ‘n8n-nodes-zl-vietts’, el análisis marcó que la biblioteca contenía un componente con un historial de malware.
Curiosamente, hace apenas tres horas se publicó en npm una versión actualizada del paquete ‘n8n-nodes-gg-udhasudsh-hgjkhg-official’, lo que sugiere que puede haber una campaña en marcha.
Una vez instalado como nodo comunitario, el paquete malicioso se comporta como cualquier otra integración de n8n, mostrando una pantalla de configuración y almacenando el token OAuth de la cuenta de Google Ads en forma cifrada en el almacén de credenciales de n8n. Cuando se ejecuta el flujo de trabajo, ejecuta un código que descifra el token almacenado utilizando la clave maestra de n8n y lo extrae a un servidor remoto.
Este desarrollo marca la primera vez que una amenaza a la cadena de suministro se dirige explícitamente al ecosistema n8n, con actores maliciosos utilizando como arma la confianza en la integración de la comunidad para lograr sus objetivos.
Este hallazgo resalta los problemas de seguridad asociados con la integración de flujos de trabajo que no son de confianza y potencialmente expande la superficie de ataque. Se anima a los desarrolladores a auditar los paquetes antes de instalarlos, examinar los metadatos del paquete en busca de anomalías y utilizar integraciones oficiales de n8n.
N8n también advierte de los riesgos de seguridad que supone el uso de los nodos comunitarios de npm, afirmando que es posible realizar acciones maliciosas en la máquina donde se ejecuta el servicio. Para instancias n8n autohospedadas, recomendamos deshabilitar los nodos de la comunidad configurando N8N_COMMUNITY_PACKAGES_ENABLED en falso.
«Los nodos comunitarios se ejecutan con el mismo nivel de acceso que el propio n8n. Los nodos comunitarios pueden leer variables de entorno, acceder al sistema de archivos, realizar solicitudes de red salientes y, lo más importante, recibir claves API descifradas y tokens OAuth mientras ejecutan flujos de trabajo», dijeron los investigadores Kiran Raj y Henrik Preet. «No hay espacio aislado ni separación entre el código del nodo y el tiempo de ejecución de n8n».
«Por lo tanto, un solo paquete npm malicioso es suficiente para obtener una visibilidad profunda de los flujos de trabajo, robar credenciales y comunicarse externamente sin despertar sospechas inmediatamente. Para los atacantes, la cadena de suministro de npm proporciona un punto de entrada silencioso y altamente efectivo a un entorno n8n».
Source link
