Pesquisadores da **Cisco Talos**, Sean Gallagher e Omid Mirzaei, revelaram em uma análise recente que atores de ameaças estão utilizando o n8n para facilitar campanhas de phishing e entregar payloads maliciosos. A capacidade da plataforma de automatizar tarefas e conectar diversas aplicações web, APIs e serviços de modelos de IA está sendo abusada para obter acesso remoto persistente. ### N8n: Uma Faca de Dois Gumes n8n é uma plataforma de automação de fluxo de trabalho projetada para permitir que os usuários conectem aplicações web e APIs, sincronizem dados e automatizem tarefas repetitivas. Os usuários podem criar uma conta de desenvolvedor para utilizar um serviço gerenciado hospedado na nuvem. Este serviço cria um domínio personalizado único no formato `<nome da conta>.app.n8n.cloud`, que permite aos usuários acessar suas aplicações. ### Webhooks: O Ponto de Entrada para Atacantes A plataforma suporta a criação de webhooks para receber dados de aplicações e serviços quando determinados eventos são acionados. Esses webhooks utilizam o subdomínio `*.app.n8n[.]cloud` e têm sido explorados em ataques de phishing desde pelo menos outubro de 2025, de acordo com a **Cisco Talos**. Webhooks, frequentemente referidos como 'APIs reversas', permitem o compartilhamento de informações em tempo real entre aplicações. Esses URLs registram uma aplicação como um 'ouvinte' para receber dados, o que pode incluir conteúdo HTML obtido programaticamente.  Quando um URL de webhook recebe uma requisição, etapas subsequentes do fluxo de trabalho são acionadas, retornando resultados como um fluxo de dados HTTP. Se o URL for acessado por e-mail, o navegador do destinatário processa a saída como uma página web, criando um vetor de ataque que parece originar-se de um domínio confiável. ### Exploração em Larga Escala Atores de ameaças estão utilizando ativamente URLs de webhook do n8n para entrega de malware e fingerprinting de dispositivos. O volume de mensagens de e-mail contendo esses URLs viu um aumento significativo, com março de 2026 apresentando um aumento de 686% em comparação com janeiro de 2025. Em uma campanha observada, os atacantes incorporam um link de webhook hospedado no n8n em e-mails disfarçados de documentos compartilhados. Clicar no link redireciona o usuário para uma página web protegida por CAPTCHA. Após a conclusão, um payload malicioso é baixado de um host externo. Como todo o processo é encapsulado no JavaScript do documento HTML, o download parece originar-se do domínio n8n. ### Entrega de Malware e Fingerprinting de Dispositivos O objetivo final desses ataques é entregar um executável ou um instalador MSI que atua como um canal para versões modificadas de ferramentas legítimas de Monitoramento e Gerenciamento Remoto (RMM), como **Datto** e **ITarian Endpoint Management**. Essas ferramentas são então usadas para estabelecer persistência, conectando-se a um servidor de comando e controle (C2). Outra tática comum envolve o uso do n8n para fingerprinting de dispositivos. Os atacantes incorporam uma imagem invisível ou pixel de rastreamento, hospedado em um URL de webhook do n8n, em e-mails. Quando o e-mail é aberto, ele envia uma requisição HTTP GET para o URL do n8n, juntamente com parâmetros de rastreamento como o endereço de e-mail da vítima, permitindo que os atacantes identifiquem o destinatário. ### Um Chamado à Vigilância "Os mesmos fluxos de trabalho projetados para economizar horas de trabalho manual para os desenvolvedores estão agora sendo reutilizados para automatizar a entrega de malware e o fingerprinting de dispositivos devido à sua flexibilidade, facilidade de integração e automação perfeita", afirmaram os pesquisadores da **Talos**. As equipes de segurança devem garantir que essas plataformas permaneçam como ativos, em vez de passivos, à medida que a automação low-code continua a crescer.