Les chercheurs de **Cisco Talos**, Sean Gallagher et Omid Mirzaei, ont révélé dans une analyse récente que des acteurs malveillants utilisent n8n pour faciliter des campagnes de phishing et livrer des payloads malveillants. La capacité de la plateforme à automatiser les tâches et à connecter diverses applications web, API et services de modèles IA est détournée pour obtenir un accès distant persistant. ### N8n : Une arme à double tranchant n8n est une plateforme d'automatisation de flux de travail conçue pour permettre aux utilisateurs de connecter des applications web et des API, de synchroniser des données et d'automatiser des tâches répétitives. Les utilisateurs peuvent créer un compte développeur pour utiliser un service géré hébergé dans le cloud. Ce service crée un domaine personnalisé unique au format `<nom du compte>.app.n8n.cloud`, qui permet aux utilisateurs d'accéder à leurs applications. ### Webhooks : Le point d'entrée pour les attaquants La plateforme prend en charge la création de webhooks pour recevoir des données d'applications et de services lorsque certains événements sont déclenchés. Ces webhooks utilisent le sous-domaine `*.app.n8n[.]cloud` et sont exploités dans des attaques de phishing depuis au moins octobre 2025, selon **Cisco Talos**. Les webhooks, souvent appelés 'API inversées', permettent le partage d'informations en temps réel entre applications. Ces URL enregistrent une application comme 'écouteur' pour recevoir des données, ce qui peut inclure du contenu HTML récupéré par programme.  Lorsqu'une URL de webhook reçoit une requête, les étapes de flux de travail suivantes sont déclenchées, renvoyant les résultats sous forme de flux de données HTTP. Si l'URL est accédée par e-mail, le navigateur du destinataire traite la sortie comme une page web, créant un vecteur d'attaque qui semble provenir d'un domaine de confiance. ### Exploitation en pleine nature Les acteurs malveillants utilisent activement les URL de webhook n8n pour la livraison de malwares et le fingerprinting d'appareils. Le volume de messages électroniques contenant ces URL a connu une augmentation significative, mars 2026 affichant une augmentation de 686 % par rapport à janvier 2025. Dans une campagne observée, les attaquants intègrent un lien de webhook hébergé par n8n dans des e-mails déguisés en documents partagés. Le clic sur le lien redirige l'utilisateur vers une page web protégée par CAPTCHA. Une fois complété, un payload malveillant est téléchargé depuis un hôte externe. Comme l'ensemble du processus est encapsulé dans le JavaScript du document HTML, le téléchargement semble provenir du domaine n8n. ### Livraison de malwares et fingerprinting d'appareils L'objectif final de ces attaques est de livrer un exécutable ou un installateur MSI qui sert de conduit pour des versions modifiées d'outils légitimes de surveillance et de gestion à distance (RMM) tels que **Datto** et **ITarian Endpoint Management**. Ces outils sont ensuite utilisés pour établir la persistance en se connectant à un serveur de commande et de contrôle (C2). Une autre tactique courante consiste à utiliser n8n pour le fingerprinting d'appareils. Les attaquants intègrent une image invisible ou un pixel de suivi, hébergé sur une URL de webhook n8n, dans les e-mails. Lorsque l'e-mail est ouvert, il envoie une requête HTTP GET à l'URL n8n, ainsi que des paramètres de suivi tels que l'adresse e-mail de la victime, permettant aux attaquants d'identifier le destinataire. ### Un appel à la vigilance « Les mêmes flux de travail conçus pour faire économiser des heures de travail manuel aux développeurs sont maintenant réutilisés pour automatiser la livraison de malwares et le fingerprinting d'appareils en raison de leur flexibilité, de leur facilité d'intégration et de leur automatisation transparente », ont déclaré les chercheurs de **Talos**. Les équipes de sécurité doivent s'assurer que ces plateformes restent des atouts plutôt que des passifs à mesure que l'automatisation low-code continue de croître.