Automatización del hackeo: la plataforma n8n filtra en secreto claves de Stripe a terceros
Módulos públicos obtienen acceso sin restricciones a los secretos empresariales más sensibles.
Un ataque reciente a la cadena de suministro afectó a la plataforma de automatización de flujos de trabajo n8n: los atacantes subieron al repositorio npm paquetes maliciosos disfrazados de módulos legítimos para integraciones. El objetivo de esta campaña, según Endor Labs, fue robar tokens OAuth de desarrolladores, con los que se puede acceder a servicios como Google Ads, Stripe y Salesforce.
Los paquetes maliciosos imitaban extensiones para n8n y mostraban las habituales pantallas de configuración. A los usuarios se les pedía autorizar el acceso a sus cuentas, tras lo cual los tokens se guardaban en el almacenamiento de la plataforma y se transmitían silenciosamente al servidor de los atacantes. De este modo, el ataque afectó no solo a credenciales individuales, sino a una característica clave de n8n: el almacenamiento centralizado de información sensible usada en decenas de servicios conectados.
En total la campaña utilizó ocho paquetes maliciosos, entre ellos «n8n-nodes-hfgjf-irtuinvcm-lasdqewriit», «n8n-nodes-gasdhgfuy-rejerw-ytjsadx» y «n8n-nodes-danev». Los autores aparecen como usuarios con los alias «kakashi-hatake», «zabuza-momochi», «dan_even_segler» y otros. Algunos de ellos también están relacionados con otras bibliotecas que aún siguen disponibles para descarga. El análisis de parte de esos componentes no detectó funciones maliciosas; sin embargo uno de ellos, «n8n-nodes-zl-vietts», está señalado por usar un elemento con historial de infecciones.
Es significativo que una de las extensiones previamente vinculadas con actividad maliciosa — «n8n-nodes-gg-udhasudsh-hgjkhg-official» — fuera actualizada apenas unas horas antes de la publicación del informe de Endor Labs, lo que puede indicar que la campaña continúa.
Tras la instalación, los módulos maliciosos funcionaban como los nodos de la comunidad de n8n: mostraban las pantallas de configuración, guardaban los tokens OAuth cifrados y luego los descifraban y los enviaban a un servidor externo al ejecutarse un flujo. Este es el primer caso registrado en el que un ataque a la cadena de suministro se dirigió específicamente al ecosistema n8n. La vulnerabilidad principal fue la confianza excesiva en extensiones de terceros publicadas de forma abierta.
El equipo de n8n ya ha advertido sobre la amenaza asociada al uso de nodos de la comunidad procedentes del repositorio npm. Tales módulos tienen los mismos permisos que la propia plataforma: pueden acceder a variables de entorno, al sistema de archivos, ejecutar solicitudes de red y, lo más importante, obtener tokens descifrados. La falta de aislamiento del código y de la capacidad de ejecución en un entorno aislado convierte a estos nodos en potencialmente peligrosos.
En las propias instancias de n8n desplegadas localmente, los expertos recomiendan desactivar por completo la posibilidad de conectar nodos de la comunidad: para ello hay que establecer el parámetro N8N_COMMUNITY_PACKAGES_ENABLED con el valor false. También se recomienda revisar los metadatos antes de instalar módulos y, cuando sea posible, usar únicamente extensiones oficiales.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla