Forscher von **Cisco Talos**, Sean Gallagher und Omid Mirzaei, enthüllten in einer aktuellen Analyse, dass Bedrohungsakteure n8n zur Durchführung von Phishing-Kampagnen und zur Auslieferung von bösartigen Payloads missbrauchen. Die Fähigkeit der Plattform, Aufgaben zu automatisieren und verschiedene Webanwendungen, APIs und KI-Modul-Dienste zu verbinden, wird missbraucht, um persistenten Fernzugriff zu erlangen. ### N8n: Ein zweischneidiges Schwert n8n ist eine Workflow-Automatisierungsplattform, die es Benutzern ermöglicht, Webanwendungen und APIs zu verbinden, Daten zu synchronisieren und repetitive Aufgaben zu automatisieren. Benutzer können ein Entwicklerkonto erstellen, um einen verwalteten Cloud-Hosting-Dienst zu nutzen. Dieser Dienst erstellt eine eindeutige benutzerdefinierte Domain im Format `<account name>.app.n8n.cloud`, die es Benutzern ermöglicht, auf ihre Anwendungen zuzugreifen. ### Webhooks: Der Eintrittspunkt für Angreifer Die Plattform unterstützt die Erstellung von Webhooks, um Daten von Apps und Diensten zu empfangen, wenn bestimmte Ereignisse ausgelöst werden. Diese Webhooks verwenden die Subdomain `*.app.n8n[.]cloud` und werden laut **Cisco Talos** seit mindestens Oktober 2025 in Phishing-Angriffen ausgenutzt. Webhooks, oft als 'Reverse APIs' bezeichnet, ermöglichen den Echtzeit-Informationsaustausch zwischen Anwendungen. Diese URLs registrieren eine Anwendung als 'Listener', um Daten zu empfangen, was programmatisch abgerufene HTML-Inhalte einschließen kann.  Wenn eine Webhook-URL eine Anfrage empfängt, werden nachfolgende Workflow-Schritte ausgelöst, die Ergebnisse als HTTP-Datenstrom zurückgeben. Wenn die URL per E-Mail aufgerufen wird, verarbeitet der Browser des Empfängers die Ausgabe als Webseite, wodurch ein Angriffsvektor entsteht, der von einer vertrauenswürdigen Domain zu stammen scheint. ### Ausnutzung in freier Wildbahn Bedrohungsakteure nutzen aktiv n8n-Webhook-URLs für die Malware-Auslieferung und das Geräte-Fingerprinting. Das Volumen der E-Mails mit diesen URLs verzeichnete einen signifikanten Anstieg, wobei März 2026 einen Anstieg von 686 % im Vergleich zu Januar 2025 zeigte. In einer beobachteten Kampagne betten Angreifer einen von n8n gehosteten Webhook-Link in E-Mails ein, die als geteilte Dokumente getarnt sind. Das Klicken auf den Link leitet den Benutzer zu einer CAPTCHA-geschützten Webseite weiter. Nach Abschluss wird eine bösartige Payload von einem externen Host heruntergeladen. Da der gesamte Prozess in der JavaScript des HTML-Dokuments gekapselt ist, scheint der Download von der n8n-Domain zu stammen. ### Malware-Auslieferung und Geräte-Fingerprinting Das ultimative Ziel dieser Angriffe ist die Auslieferung einer ausführbaren Datei oder eines MSI-Installers, der als Conduit für modifizierte Versionen legitimer Remote Monitoring and Management (RMM)-Tools wie **Datto** und **ITarian Endpoint Management** dient. Diese Tools werden dann verwendet, um Persistenz zu etablieren, indem sie sich mit einem Command-and-Control (C2)-Server verbinden. Eine weitere gängige Taktik ist die Verwendung von n8n für das Geräte-Fingerprinting. Angreifer betten ein unsichtbares Bild oder Tracking-Pixel, das auf einer n8n-Webhook-URL gehostet wird, in E-Mails ein. Wenn die E-Mail geöffnet wird, sendet sie eine HTTP-GET-Anfrage an die n8n-URL, zusammen mit Tracking-Parametern wie der E-Mail-Adresse des Opfers, was es Angreifern ermöglicht, den Empfänger zu identifizieren. ### Ein Aufruf zur Wachsamkeit "Die gleichen Workflows, die Entwicklern Stunden manueller Arbeit ersparen sollen, werden nun aufgrund ihrer Flexibilität, einfachen Integration und nahtlosen Automatisierung für die automatisierte Auslieferung von Malware und das Fingerprinting von Geräten umfunktioniert", erklärten **Talos**-Forscher. Sicherheitsteams müssen sicherstellen, dass diese Plattformen weiterhin Vermögenswerte und keine Belastungen bleiben, da Low-Code-Automatisierung weiter wächst.