n8n Supply Chain-aanval maakt misbruik van gemeenschapsknooppunten om OAuth-tokens te stelen

Cyberbeveiliging
n8n Supply Chain-aanval maakt misbruik van gemeenschapsknooppunten om OAuth-tokens te stelen

Er zijn bedreigingsactoren waargenomen die een set van acht pakketten naar het npm-register uploadden, die zich voordeden als integraties die zich richtten op het n8n-workflowautomatiseringsplatform om de OAuth-referenties van ontwikkelaars te stelen.

Eén zo’n pakket, genaamd ‘n8n-nodes-hfgjf-irtuinvcm-lasdqewriit’, bootst een Google Ads-integratie na en vraagt ​​gebruikers om hun advertentieaccount in een ogenschijnlijk legitieme vorm te koppelen en deze vervolgens over te hevelen naar servers onder controle van de aanvallers.

“De aanval vertegenwoordigt een nieuwe escalatie van de bedreigingen voor de toeleveringsketen”, zei Endor Labs in een vorige week gepubliceerd rapport. “In tegenstelling tot traditionele npm-malware, die zich vaak richt op de inloggegevens van ontwikkelaars, maakte deze campagne gebruik van workflowautomatiseringsplatforms die fungeren als gecentraliseerde kluizen voor inloggegevens – met OAuth-tokens, API-sleutels en gevoelige inloggegevens voor tientallen geïntegreerde services zoals Google Ads, Stripe en Salesforce op één locatie.”

De volledige lijst met geïdentificeerde pakketten, die sindsdien zijn verwijderd, is als volgt:

  • n8n-nodes-hfgjf-irtuinvcm-lasdqewriit (4.241 downloads, auteur: kakashi-hatake)
  • n8n-nodes-ggdv-hdfvcnnje-uyrokvbkl (1.657 downloads, auteur: kakashi-hatake)
  • n8n-nodes-vbmkajdsa-uehfitvv-ueqjhhhksdlkkmz (1.493 downloads, auteur: kakashi-hatake)
  • n8n-nodes-prestatiestatistieken (752 downloads, auteur: hezi109)
  • n8n-nodes-gasdhgfuy-rejerw-ytjsadx (8.385 downloads, auteur: zabuza-momochi)
  • n8n-nodes-danev (5.525 downloads, auteur: dan_even_segler)
  • n8n-nodes-rooyai-model (1.731 downloads, auteur: haggags)
  • n8n-nodes-zalo-vietts (4.241 downloads, auteurs: vietts_code en diendh)

De gebruikers “zabuza-momochi”, “dan_even_segler” en “diendh” zijn ook gekoppeld aan andere bibliotheken die op het moment van schrijven nog steeds beschikbaar zijn om te downloaden –

Het is niet duidelijk of ze vergelijkbare kwaadaardige functionaliteit bevatten. Een beoordeling van de eerste drie pakketten op ReversingLabs Spectra Assure heeft echter geen beveiligingsproblemen aan het licht gebracht. In het geval van “n8n-nodes-zl-vietts” heeft de analyse aangegeven dat de bibliotheek een component met malwaregeschiedenis bevat.

Interessant is dat er slechts drie uur geleden een bijgewerkte versie van het pakket “n8n-nodes-gg-udhasudsh-hgjkhg-official” werd gepubliceerd op npm, wat erop wijst dat de campagne mogelijk aan de gang is.

Het kwaadaardige pakket gedraagt ​​zich, zodra het is geïnstalleerd als een communityknooppunt, net als elke andere n8n-integratie. Het geeft configuratieschermen weer en slaat de OAuth-tokens van het Google Ads-account in gecodeerd formaat op in de n8n-inloggegevensopslag. Wanneer de workflow wordt uitgevoerd, voert deze code uit om de opgeslagen tokens te decoderen met behulp van de hoofdsleutel van n8n en exfiltreert deze naar een externe server.

Deze ontwikkeling markeert de eerste keer dat een bedreiging voor de toeleveringsketen zich expliciet richt op het n8n-ecosysteem, waarbij slechte actoren het vertrouwen in gemeenschapsintegraties bewapenen om hun doelen te bereiken.

De bevindingen benadrukken de beveiligingsproblemen die gepaard gaan met het integreren van niet-vertrouwde workflows, waardoor het aanvalsoppervlak kan worden vergroot. Ontwikkelaars wordt aanbevolen om pakketten te controleren voordat ze worden geïnstalleerd, de metagegevens van pakketten nauwkeurig te onderzoeken op eventuele afwijkingen en officiële n8n-integraties te gebruiken.

N8n heeft ook gewaarschuwd voor het veiligheidsrisico dat voortkomt uit het gebruik van community-nodes van npm, die naar eigen zeggen kwaadaardige acties kunnen uitvoeren op de machine waarop de dienst draait. Op zelf-gehoste n8n-instanties wordt geadviseerd om communityknooppunten uit te schakelen door N8N_COMMUNITY_PACKAGES_ENABLED in te stellen op false.

“Community-knooppunten werken met hetzelfde toegangsniveau als n8n zelf. Ze kunnen omgevingsvariabelen lezen, toegang krijgen tot het bestandssysteem, uitgaande netwerkverzoeken doen en, het allerbelangrijkste, gedecodeerde API-sleutels en OAuth-tokens ontvangen tijdens de uitvoering van de workflow”, aldus onderzoekers Kiran Raj en Henrik Plate. “Er is geen sprake van sandboxing of isolatie tussen knooppuntcode en de n8n-runtime.”

“Hierdoor is één kwaadaardig npm-pakket voldoende om diep inzicht te krijgen in workflows, inloggegevens te stelen en extern te communiceren zonder onmiddellijke argwaan te wekken. Voor aanvallers biedt de npm-toeleveringsketen een stil en zeer effectief toegangspunt tot n8n-omgevingen.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google Gemini zal de volgende generatie Siri-upgrade van Apple mogelijk maken

Exynos 2700 Chip Leak plaagt een koelere, krachtigere toekomst

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]