Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

n8n Webhooks Abused Since October 2025 to Deliver Malware via Phishing Emails

1 minute de lecture

Mis à jour :

Détournement de la plateforme n8n pour des campagnes de phishing et malwares

La plateforme d’automatisation de workflows n8n est détournée par des cybercriminels depuis octobre 2025 pour orchestrer des campagnes de phishing sophistiquées. En exploitant la légitimité du domaine *.app.n8n.cloud, les attaquants parviennent à contourner les filtres de sécurité traditionnels pour diffuser des logiciels malveillants ou effectuer le traçage (fingerprinting) d’utilisateurs.

Points clés

  • Abus d’infrastructure : Les attaquants créent des comptes gratuits sur n8n pour générer des URL de webhooks, utilisées comme vecteurs d’attaque.
  • Techniques de livraison :
    • Phishing : Les liens redirigent vers de fausses pages avec CAPTCHA, déclenchant le téléchargement de charges utiles malveillantes (exécutables ou MSI).
    • Persistence : Les malwares installent des versions modifiées d’outils de gestion à distance (RMM) comme Datto ou ITarian pour établir un accès persistant via un serveur de commande et de contrôle (C2).
    • Fingerprinting : Utilisation de pixels espions (tracking pixels) intégrés dans les emails pour collecter des données sur les cibles dès l’ouverture du message.
  • Progression : Le volume d’emails malveillants utilisant ces webhooks a bondi de 686 % entre janvier 2025 et mars 2026.

Vulnérabilités

L’article ne mentionne pas de CVE spécifique liée à une faille logicielle de n8n, mais pointe une vulnérabilité de conception/usage : l’exposition publique et la confiance accordée par les filtres de sécurité aux domaines de services d’automatisation légitimes.

Recommandations

  • Vigilance accrue : Les équipes de sécurité doivent surveiller les communications provenant ou redirigeant vers des plateformes d’automatisation “low-code”.
  • Filtrage des emails : Renforcer les règles de filtrage sur les URL pointant vers des services d’automatisation tiers qui ne sont pas explicitement utilisés par l’organisation.
  • Sensibilisation : Éduquer les utilisateurs sur les risques liés aux liens provenant de documents partagés, même s’ils semblent hébergés sur des plateformes connues.
  • Analyse comportementale : Surveiller les installations non autorisées d’outils RMM ou de logiciels de gestion à distance sur les postes de travail.

Source

Vous pourriez aimer