研究者らは、n8nの連携機能を装った悪意のあるnpmパッケージを発見した。これらは企業のワークフローからOAuthトークンやAPIキーを流出させていた。
今週、脅威アクターがn8nの自動化エコシステムを悪用していることが確認され、コミュニティが保守するノードのマーケットプレイスに悪意のあるnpmパッケージを紛れ込ませていた。
Google Adsコネクターのような正規の連携機能に偽装したこれらの欺瞞的なパッケージは、開発者を誘導してOAuthやAPIキーを接続させ、見かけ上は通常のワークフロー実行を通じて、攻撃者が機密トークンや認証情報を抽出できるようにしていた。
このキャンペーンを発見したEndor Labsによると、この攻撃はサプライチェーン脅威の新たなエスカレーションを示すものだという。「我々の知る限り、n8nのワークフロー自動化プラットフォームがサプライチェーン攻撃の標的になったのはこれが初めてです」と、Endor Labsの主任研究者であるHenrik Plate氏は述べた。「攻撃者は悪意のあるパッケージを拡散するために新しいエコシステムを狙い続けていることを示しています。おそらく、npmのような他のエコシステムで管理が厳格化しているためでしょう。」
Endor Labsはブログ投稿で、サプライチェーン悪用を監視するためにビルドシステムを監視している企業であっても、この種の攻撃を完全に見落とす可能性があると警告した。というのも、攻撃対象はすでに業務ワークフローの奥深くに入り込んでいる自動化プラットフォームだからだ。この活動は、最大深刻度のn8n脆弱性の開示(CVE-2026-21858)に続くものだが、研究者らは両事案の関連性を確認していない。
攻撃の仕組み
攻撃は、悪意のあるnpmパッケージを公開レジストリに公開することから始まる。これらのパッケージはコミュニティノード、すなわちn8nユーザーが自動化機能を拡張するためにインストールできる拡張機能を装っている。インストールされると、悪意のあるノードは他の連携機能と同様に動作し、設定画面を提示して、一般的なワークフロー作業に必要な認証情報を収集する。
しかし裏では、n8nの認証情報ストアに保存されたOAuthトークンやAPIキーを復号するコードを実行し、攻撃者が管理するリモートのコマンド&コントロール(C2)サーバーへ流出させる。
この手口が成功するのは、n8nがインストールされたすべてのノードを信頼できるコードとして扱うためだ。npmには公開前レビューがなく、インストールされたノードはワークフロー環境への完全なアクセス権で実行される。つまり、ノードは復号済みの認証情報を読み取り、任意のネットワークリクエストを行い、正規ノードと同様にホストシステムとやり取りできる。
Endorの研究者らは投稿の中で、「データセキュリティ企業Cyeraのセキュリティ研究者によると、CVE-2026-21858の影響を受けるn8nサーバーは10万台以上あった」と述べた。「そのうち、どれだけが環境内でnpmパッケージをコミュニティノードとしてインストールしているかは分かりません。それでも、この数字はn8nエコシステムが活発で成長していることを示しています。」
リスク低減のためのヒント
n8nのようなワークフロー自動化プラットフォームは、あらゆる連携を手作業でコーディングすることなく、チームが異なるシステム同士をつなげられる能力により広く採用されている。しかし、コミュニティノードのエコシステムはnpmパッケージに依存しており、そのため関連するリスクも引き継ぐ。
露出を軽減するため、Endor Labsの研究者らは、コミュニティノードよりも組み込みの連携機能を優先すること、インストール前にパッケージのメタデータとソースコードを監査すること、自動化ホストからの外向きネットワーク活動を監視すること、可能な限り権限を制限した分離サービスアカウントを使用することなどの対策を推奨した。Endor Labsは検知支援のため、パッケージ名、C2インフラ、悪意のあるファイルなどを含む侵害指標(IOC)の一覧も公開した。「現時点で判明している悪意のあるパッケージはここ数時間で無効化されていますが、攻撃は今後も継続し、進化する可能性があります」とPlate氏は指摘した。
