Pesquisadores identificaram campanhas de phishing que exploram webhooks da plataforma n8n desde outubro de 2025 para distribuir malware. A descoberta revela como ferramentas legítimas de automação estão sendo convertidas em infraestrutura para ataques mais discretos e difíceis de bloquear.
O n8n é uma plataforma open source de automação de fluxos de trabalho que permite integração entre diferentes aplicações e serviços através de webhooks — endpoints HTTP que recebem e processam dados automaticamente. Nas campanhas identificadas, atacantes utilizam esses mesmos webhooks para redirecionar vítimas, entregar conteúdo malicioso ou acionar etapas automatizadas do ataque.
Abuso de infraestrutura confiável
A técnica explora a reputação de plataformas legítimas para contornar filtros de segurança. URLs associadas ao n8n tendem a não levantar suspeitas iniciais, aumentando a taxa de entrega dos emails maliciosos e dificultando decisões automáticas de bloqueio por ferramentas de segurança que dependem de listas de domínios conhecidamente maliciosos.
As campanhas utilizam mensagens que simulam notificações legítimas, documentos compartilhados ou alertas operacionais. Quando a vítima interage com o conteúdo — clicando em links ou botões — pode ser direcionada para download de arquivos infectados, páginas de phishing ou iniciar cadeias de infecção que culminam na instalação de malware.
Persistência indica sucesso tático
O uso continuado da técnica desde outubro de 2025 sugere que os operadores das campanhas encontraram valor significativo nessa abordagem. A persistência ao longo de meses indica adaptação constante da infraestrutura, testes de eficácia e provável reaproveitamento dos mesmos mecanismos em múltiplas campanhas direcionadas a diferentes alvos.
A descoberta reforça um padrão crescente no cenário de ameaças: o abuso de serviços legítimos como Discord, Telegram, Google Drive e agora n8n para hospedar ou distribuir conteúdo malicioso. Essa tendência representa um desafio adicional para equipes de segurança, que precisam equilibrar a necessidade de bloquear ameaças sem impactar o uso legítimo dessas ferramentas.