n8n供应链攻击解析:社区节点滥用与OAuth令牌窃取防范指南
安全专家建议开发人员在安装前审计软件包,并仔细检查包元数据是否存在异常,同时优先使用最新的n8n集成组件。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
安全研究人员发现,威胁行为者已在npm注册表上传了八个伪装成n8n工作流自动化平台组件的恶意软件包,意图窃取开发者的OAuth凭证。其中一个名为"n8n-nodes-hfgjf-irtuinvcm-lasdqewriit"的软件包仿冒了Google Ads集成组件,通过看似合法的表单诱导用户关联广告账户,随后将凭证窃取至攻击者控制的服务器。
供应链威胁新变种
Endor Labs在其上周发布的报告中指出:“此次攻击标志着供应链威胁的一次升级。与传统的针对开发者凭证的npm恶意软件不同,该活动利用了作为集中式凭证库的工作流自动化平台——这些平台在单一位置存储着Google Ads、Stripe和Salesforce等数十种集成服务的OAuth令牌、API密钥和敏感凭证。”
已下架的恶意软件包完整列表如下:
n8n-nodes-hfgjf-irtuinvcm-lasdqewriit(下载量4,241次,作者:kakashi-hatake)
n8n-nodes-ggdv-hdfvcnnje-uyrokvbkl(下载量1,657次,作者:kakashi-hatake)
n8n-nodes-vbmkajdsa-uehfitvv-ueqjhhhksdlkkmz(下载量1,493次,作者:kakashi-hatake)
n8n-nodes-performance-metrics(下载量752次,作者:hezi109)
n8n-nodes-gasdhgfuy-rejerw-ytjsadx(下载量8,385次,作者:zabuza-momochi)
n8n-nodes-danev(下载量5,525次,作者:dan_even_segler)
n8n-nodes-rooyai-model(下载量1,731次,作者:haggags)
n8n-nodes-zalo-vietts(下载量4,241次,作者:vietts_code和diendh)
关联账户持续活跃
用户“zabuza-momochi”、“dan_even_segler”和“diendh”还关联了截至发稿时仍可下载的其他库:
n8n-nodes-gg-udhasudsh-hgjkhg-official(下载量2,863次)
n8n-nodes-danev-test-project(下载量1,259次)
@diendh/n8n-nodes-tiktok-v2(下载量218次)
n8n-nodes-zl-vietts(下载量6,357次)
虽然尚不清楚这些库是否具有类似恶意功能,但ReversingLabs Spectra Assure对前三个软件包的检测未发现安全问题。而“n8n-nodes-zl-vietts”被标记为包含具有恶意软件历史的组件。值得注意的是,“n8n-nodes-gg-udhasudsh-hgjkhg-official”在三小时前发布了更新版本,表明攻击活动可能仍在持续。
攻击技术细节
恶意软件包安装为社区节点后,会像普通n8n集成组件一样显示配置界面,并将Google Ads账户的OAuth令牌以加密格式保存至n8n凭证库。当工作流执行时,该组件会运行代码,利用n8n主密钥解密存储的令牌,并将其外泄至远程服务器。这是首次出现专门针对n8n生态系统的供应链攻击,攻击者通过滥用社区集成的信任机制达成目的。
安全建议
这项研究突显了集成不可信工作流所带来的安全隐患,这会扩大攻击面。安全专家建议开发人员在安装前审计软件包、仔细检查包元数据是否存在异常,并优先使用最新版n8n集成组件。n8n官方已警告使用npm社区节点可能引发的安全风险,指出这些节点可在服务运行的机器上执行恶意操作。对于自托管n8n实例,建议通过设置N8N_COMMUNITY_PACKAGES_ENABLED为false来禁用社区节点。
研究人员Kiran Raj和Henrik Plate强调:“社区节点拥有与n8n相同的访问权限,可读取环境变量、访问文件系统、发起出站网络请求,最关键的是能在工作流执行期间获取解密的API密钥和OAuth令牌。节点代码与n8n运行时之间不存在沙箱隔离机制。因此,单个恶意npm软件包就足以深度窥探工作流、窃取凭证并进行外部通信,而不会立即引发怀疑。对攻击者而言,npm供应链为渗透n8n环境提供了隐蔽且高效的入口。”
相关攻略
攻击者持续扫描互联网寻找未打补丁的基础设施,利用已知漏洞部署恶意软件或建立入侵企业网络的初始通道。 过时系统构成重大攻击面2026年3月23日,Shadowserver基金会在例行网络扫描中发现超过
工具采用基于标志位的输出控制机制,便于AI编程Agent将其作为子进程调用时,能高效解析输出而无需额外token开销。 工具概述密钥扫描已成为工程组织的标准实践,而Gitleaks是该领域应用最广泛
为应对风险,建议用户和企业采取以下措施:加强网络控制、避免OpenClaw默认管理端口暴露在互联网、采用容器隔离服务、避免明文存储凭证、仅从可信渠道下载技能模块、禁用技能自动更新功能,以及保持代理程
目前该漏洞尚无特定的威胁检测签名,因此主动打补丁和严格的权限管理至关重要。 漏洞概述Splunk发布紧急安全公告,警告用户其Enterprise和Cloud平台存在一个高危漏洞(CVE-2026-2
OpenAI称,该工具能建立对整个项目的上下文理解,从而专注于实际可被利用的漏洞,解决了应用安全团队长期面临的警报疲劳问题。 OpenAI新推出的应用安全Agent——Codex Security在
热门专题
热门推荐
《逸剑风云决》叶飞支线任务全攻略:触发条件与莲心湖位置详解 不少《逸剑风云决》玩家在推进支线任务时,常会困惑于叶飞角色的触发条件。尤其是在到达莲心湖地图后,许多玩家反复探索却无法找到叶飞,“莲心湖找不到叶飞”已成为常见问题。实际上,这并非游戏BUG,而是一系列精密的剧情前置要求未被满足。本指南将系统
《永恒树之歌:创世》世界种子攻略:获取方法、选址布局与高效家园建设指南 初次来到《永恒树之歌:创世》的阿莱瑞亚大陆,面对这片等待复苏的丰饶世界,你需要掌握的第一个核心机制就是“世界种子”。这款以自然共生与家园重建为主题的治愈系模拟经营游戏中,世界种子不仅是开启建设的钥匙,更是决定未来发展潜力的基石。
《纪念碑谷3》全章节图文攻略:从灯塔解密到莲花祭坛的完整流程解析 备受期待的视觉解谜游戏《纪念碑谷3》延续了系列标志性的极简美学与沉浸式空间叙事。游戏关卡设计由浅入深,即便是新手也能快速掌握核心机制,逐步建立对空间变换与机关互动的直觉。近期,“纪念碑谷3怎么通关”、“第三章攻略”、“莲花机关怎么过”
速览 你是否正在寻找《红色沙漠》中最强装备升级的关键材料——动力核心?本指南将为你精准揭秘动力核心的唯一高效获取途径:击败强大的阿比斯生命体。我们将详解如何根据不同核心定位特定目标怪物,传授运用法则之力的实战击杀技巧,并分享一个关键的核心掉落「S L小技巧」,助你系统性地提升收集效率,快速武装你的角
速览 在《红色沙漠》中,影子森林遗迹以其复杂的内部结构,成为许多玩家挑战的难点区域。解谜的关键路径其实并不复杂:首先我们需要前往阿方索领地,在此区域仔细探索,找到并触发一个被称为“可疑气息”的交互点,这即是通往遗迹内部的入口。进入遗迹后,最引人注目的便是那个被大量古老树藤严密包裹的核心机关。此时,玩