Tấn công chuỗi cung ứng nhắm vào n8n, lợi dụng community node đánh cắp token OAuth

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
123
1.494 bài viết
Tấn công chuỗi cung ứng nhắm vào n8n, lợi dụng community node đánh cắp token OAuth
WhiteHat Team
Các nhà nghiên cứu an ninh mạng vừa phát hiện một chiến dịch tấn công chuỗi cung ứng tinh vi nhắm trực tiếp vào n8n, nền tảng tự động hóa quy trình làm việc đang được nhiều doanh nghiệp và đội ngũ kỹ thuật sử dụng. Thông qua việc phát tán các community node độc hại trên kho npm, kẻ tấn công đã tìm cách đánh cắp token OAuth và các thông tin xác thực nhạy cảm của người dùng.
n8n.png

Theo báo cáo do Endor Labs công bố, nhóm đứng sau chiến dịch đã tải lên ít nhất tám gói npm giả mạo các tích hợp hợp pháp cho n8n. Một trong những gói đáng chú ý nhất mang tên n8n-nodes-hfgjf-irtuinvcm-lasdqewriit, được ngụy trang như một node tích hợp Google Ads. Gói này hiển thị giao diện cấu hình hoàn chỉnh, yêu cầu người dùng liên kết tài khoản quảng cáo giống hệt một tích hợp thông thường, từ đó đánh lừa nhà phát triển nhập thông tin xác thực OAuth.
1768275276705.png

Tuy nhiên, thay vì chỉ lưu trữ dữ liệu để phục vụ workflow, gói độc hại âm thầm chuyển các token OAuth này về máy chủ do kẻ tấn công kiểm soát. Endor Labs nhận định đây là một bước leo thang mới trong các mối đe dọa chuỗi cung ứng, khi mục tiêu không còn chỉ là thông tin đăng nhập của lập trình viên mà là các nền tảng tự động hóa đóng vai trò như “két sắt” lưu trữ tập trung API key, token OAuth của hàng chục dịch vụ quan trọng như Google Ads, Stripe hay Salesforce.

Các gói npm được xác định có hành vi đáng ngờ và hiện đã bị npm gỡ bỏ bao gồm:​
  • n8n-nodes-hfgjf-irtuinvcm-lasdqewriit (4.241 lượt tải, tác giả: kakashi-hatake)​
  • n8n-nodes-ggdv-hdfvcnnje-uyrokvbkl (1.657 lượt tải, kakashi-hatake)​
  • n8n-nodes-vbmkajdsa-uehfitvv-ueqjhhhksdlkkmz (1.493 lượt tải, kakashi-hatake)​
  • n8n-nodes-performance-metrics (752 lượt tải, hezi109)​
  • n8n-nodes-gasdhgfuy-rejerw-ytjsadx (8.385 lượt tải, zabuza-momochi)​
  • n8n-nodes-danev (5.525 lượt tải, dan_even_segler)​
  • n8n-nodes-rooyai-model (1.731 lượt tải, haggags)​
  • n8n-nodes-zalo-vietts (4.241 lượt tải, vietts_codediendh)​
Đáng chú ý, ba tài khoản zabuza-momochi, dan_even_segler và diendh còn liên quan đến nhiều gói khác vẫn đang tồn tại trên npm tại thời điểm được công bố, bao gồm:​
  • n8n-nodes-gg-udhasudsh-hgjkhg-official​
  • n8n-nodes-danev-test-project​
  • @diendh/n8n-nodes-tiktok-v2​
  • n8n-nodes-zl-vietts​
Dù chưa có bằng chứng khẳng định toàn bộ các gói nói trên đều chứa mã độc, một số kết quả phân tích cho thấy ít nhất một thư viện còn tồn tại có thành phần từng xuất hiện trong các mẫu mã độc trước đây. Đáng lo ngại hơn, một phiên bản cập nhật của một trong các gói liên quan vừa được phát hành chỉ vài giờ trước khi báo cáo được công bố, cho thấy chiến dịch nhiều khả năng vẫn đang tiếp diễn.
1768275252163.png

Về mặt kỹ thuật, các gói độc hại sau khi được cài đặt dưới dạng community node sẽ hoạt động không khác gì một tích hợp n8n hợp pháp. Chúng hiển thị màn hình cấu hình, lưu token OAuth vào kho credential của n8n ở dạng mã hóa. Tuy nhiên, khi workflow được thực thi, mã độc sẽ sử dụng master key của n8n để giải mã các token này, sau đó trích xuất và gửi dữ liệu ra ngoài tới máy chủ của kẻ tấn công.

Đây được xem là lần đầu tiên hệ sinh thái n8n bị nhắm tới một cách có chủ đích trong các cuộc tấn công chuỗi cung ứng. Thay vì khai thác lỗ hổng phần mềm, kẻ xấu đã lợi dụng niềm tin của người dùng đối với các tích hợp cộng đồng, từ đó giành quyền truy cập sâu vào các workflow và hệ thống phía sau.

n8n cũng đã lên tiếng cảnh báo rằng các community node được cài đặt từ npm chạy với cùng mức đặc quyền như chính nền tảng n8n. Điều này đồng nghĩa chúng có thể đọc biến môi trường, truy cập hệ thống tập tin, thực hiện kết nối ra ngoài và quan trọng nhất là nhận các API key và token OAuth ở dạng đã được giải mã trong quá trình workflow vận hành. Hiện không tồn tại cơ chế sandbox hay cô lập giữa mã của node và runtime của n8n.

Theo các nhà nghiên cứu, chỉ cần một gói npm độc hại là đủ để kẻ tấn công âm thầm quan sát toàn bộ workflow, đánh cắp thông tin xác thực và liên lạc ra bên ngoài mà không gây nghi ngờ ngay lập tức. Đối với các hệ thống n8n tự triển khai, người dùng được khuyến nghị vô hiệu hóa hoàn toàn community node bằng cách tắt tính năng này trong thiết lập hệ thống.

Vụ việc một lần nữa cho thấy rủi ro tiềm ẩn khi tích hợp các thành phần bên thứ ba không được kiểm soát chặt chẽ. Trong bối cảnh các nền tảng tự động hóa ngày càng nắm giữ nhiều thông tin nhạy cảm của doanh nghiệp, npm tiếp tục là một điểm xâm nhập âm thầm nhưng đặc biệt hiệu quả đối với các chiến dịch tấn công chuỗi cung ứng có chủ đích.
Theo The Hacker News
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • OWASP CRS lộ lỗ hổng nguy hiểm cho phép vượt tường lửa web, tấn công XSS
  • Router D-Link đời cũ trở thành “cửa ngõ” cho tin tặc tấn công từ xa
  • Tin tặc xâm nhập các nền tảng chia sẻ phổ biến, rao bán dữ liệu doanh nghiệp
  • Mã độc Kimwolf nhắm tới Việt Nam, tấn công hơn 2 triệu thiết bị Android toàn cầu
  • Hai lỗ hổng Apache NuttX mở đường cho tấn công từ xa vào thiết bị nhúng
  • Hơn 2,5 triệu yêu cầu tấn công dồn dập nhắm vào máy chủ Adobe ColdFusion dịp lễ
    • Thẻ
    community node n8n tấn công chuỗi cung ứng
    Bên trên