n8n Vebhukovi Iskorišćeni za Distribuiranje Malvera preko Phishing Poruka
n8n vebhukovi se od oktobra 2025. godine sistematski koriste za phishing napade i distribuciju malvera preko e-mail poruka.
Šta se desilo?
Od oktobra 2025. godine, napadači zloupotrebljavaju n8n platformu za automatizaciju radnih procesa kako bi provodili sofisticirane phishing kampanje i distribuirali maliciozni softver. Istraživači iz Cisco Talosa otkrili su da su vebhukovi dostupni preko n8n domena (*.app.n8n.cloud) korišćeni kao Most za dostavljanje štetnih datoteka i prikupljanje informacija o žrtvama. U marta 2026. godine, broj poruka sa ovim linkovima bio je 686% veći u odnosu na januar 2025.
Koga pogađa?
Rizik je posebno veliki za korisnike koji koriste e-mail sisteme i one koji se oslanjaju na n8n platformu za automatizaciju. Ugroženi su i konačni korisnici koji mogu biti prevareni phishing porukom, kao i kompanije čiji zaposleni koriste n8n za automatizovane radne procese. Ciljna skupina su uglavnom organizacije koje koriste remote management alate i one koje se nalaze u IT sektoru.
Kako se zaštititi?
- Pazite na osumnjive e-mail poruke sa linkovima do n8n domena ili bilo kojih domenske imena koja izgledaju nepriličito
- Ne klikćite na linkove iz nepouzdanih izvora, čak i ako podsećaju na poznate platforme
- Aktivirajte napredne phishing filtere u vašem e-mail sistemu
- Koristite alate za sigurnost e-pošte koji mogu detektovati vebhuke korišćene za malvere
- Ažurirajte sistemsku i programsku opremu redovno
- Edukujte zaposlene o rizicima od phishing napada i kako prepoznati sumnjive poruke
- Monitorujte aktivnost na n8n nalozima i ograničite pristup samo onima koji ga zaista koriste
Tehnički detalji
Napadači koriste n8n vebhukove (webhook URLs) kao kanale za dostavu malvera. Proces obično počinje sa e-mail porukom koja sadrži link do vebhuka prikazanog kao deljeni dokument. Klik na link vodi na stranicu sa CAPTCHA zaštitom. Nakon što korisnik reši CAPTCHA, JavaScript kod u HTML dokumentu automatski preuzima malicioznu datoteku sa spoljnog servera. Ceo proces izgleda kao da dolazi iz n8n domena, što napadačima pomaže da izbegnu tradicionalne bezbednosne filtere. Krajnje datoteke koje se distribuiraju su izvršni fajlovi ili MSI instaleri koji funkcioniraju kao proxy za modifikovane verzije legitimnih alata za upravljanje (RMM) kao što su Datto i ITarian Endpoint Management. Drugi čest scenarij uključuje korišćenje transparentnih piksela za praćenje (tracking pixels) hostirane na n8n vebhukovima. Kada se e-mail otvori, automatski se šalje HTTP GET zahtev do n8n URL-a sa parametrima koji prate e-mail adresu žrtve, omogućavajući napadačima da identifikuju aktivne korisnike.
Preporuka Sajber Radara
Preporučujemo svim organizacijama da hitno proverite da li koriste n8n platformu i da implementirate dodatne kontrole nad saobraćajem. Posebnu pažnju obratite na e-mail poruke sa n8n linkovima i osigurajte da su vaši bezbednosni sistemi konfiguraisani da detektuju i blokiraju ovakve napade. Edukacija korisnika ostaje ključna mera zaštite.
