Investigadores han identificado un ataque dirigido al ecosistema de nodos comunitarios de n8n mediante un paquete npm malicioso disfrazado como una integración legítima para Google Ads. Esta vulnerabilidad crítica afecta la gestión de credenciales OAuth en plataformas de automatización de flujos de trabajo, permitiendo el robo sigiloso de tokens y claves API durante la ejecución. El ataque aprovecha la elevada confianza otorgada a nodos comunitarios, los cuales operan con amplios privilegios en el sistema.
El paquete n8n-nodes-hfgjf-irtuinvcm-lasdqewriit fue publicado en el repositorio NPM utilizando un nombre similar a los nodos legítimos de la comunidad de n8n, aprovechando la confianza en el ecosistema y prácticas de instalación automática. Una vez instalado, el paquete ejecuta comportamientos maliciosos, incluyendo la descarga y ejecución de código adicional desde infraestructura externa controlada por el atacante, lo que podría derivar en compromiso del sistema donde se ejecute n8n.
Productos afectados
| Fabricante | Producto | Componente |
|---|---|---|
| n8n | Plataforma de automatización de flujos de trabajo | Nodos comunitarios, en especial integraciones npm maliciosas (Google Ads) |
Solución
Priorizar el uso de nodos oficiales de n8n y eliminar paquetes comunitarios sospechosos; auditar cuidadosamente y monitorear el tráfico saliente en implementaciones existentes.
Recomendaciones
Se recomienda auditar detalladamente cualquier paquete npm antes de su instalación, evitar nodos comunitarios no oficiales y configurar cuentas de servicio aisladas con mínimos privilegios; además, monitorizar el tráfico de red para detectar actividades sospechosas.