安全研究人员发现威胁行为者在npm注册表上传了八个伪装成n8n工作流自动化平台集成组件的恶意软件包，旨在窃取开发者的OAuth凭证。其中名为"n8n-nodes-hfgjf-irtuinvcm-lasdqewriit"的软件包仿冒Google Ads集成组件，通过看似合法的表单诱导用户关联广告账户，随后将凭证窃取至攻击者控制的服务器。

供应链威胁新变种

Endor Labs在上周发布的报告中指出："此次攻击标志着供应链威胁的新升级。与传统针对开发者凭证的npm恶意软件不同，该活动利用了作为集中式凭证库的工作流自动化平台——这些平台在单一位置存储着Google Ads、Stripe和Salesforce等数十种集成服务的OAuth令牌、API密钥和敏感凭证。"

已下架的恶意软件包完整列表如下：

• n8n-nodes-hfgjf-irtuinvcm-lasdqewriit（下载量4,241次，作者：kakashi-hatake）
• n8n-nodes-ggdv-hdfvcnnje-uyrokvbkl（下载量1,657次，作者：kakashi-hatake）
• n8n-nodes-vbmkajdsa-uehfitvv-ueqjhhhksdlkkmz（下载量1,493次，作者：kakashi-hatake）
• n8n-nodes-performance-metrics（下载量752次，作者：hezi109）
• n8n-nodes-gasdhgfuy-rejerw-ytjsadx（下载量8,385次，作者：zabuza-momochi）
• n8n-nodes-danev（下载量5,525次，作者：dan_even_segler）
• n8n-nodes-rooyai-model（下载量1,731次，作者：haggags）
• n8n-nodes-zalo-vietts（下载量4,241次，作者：vietts_code和diendh）

关联账户持续活跃

用户"zabuza-momochi"、"dan_even_segler"和"diendh"还关联了截至发稿时仍可下载的其他库：

• n8n-nodes-gg-udhasudsh-hgjkhg-official（下载量2,863次）
• n8n-nodes-danev-test-project（下载量1,259次）
• @diendh/n8n-nodes-tiktok-v2（下载量218次）
• n8n-nodes-zl-vietts（下载量6,357次）

虽然尚不清楚这些库是否具有类似恶意功能，但ReversingLabs Spectra Assure对前三个软件包的检测未发现安全问题。而"n8n-nodes-zl-vietts"被标记为包含具有恶意软件历史的组件。值得注意的是，"n8n-nodes-gg-udhasudsh-hgjkhg-official"在三小时前发布了更新版本，表明攻击活动可能仍在持续。

攻击技术细节

恶意软件包安装为社区节点后，会像普通n8n集成组件一样显示配置界面，并将Google Ads账户的OAuth令牌以加密格式保存至n8n凭证库。当工作流执行时，该组件会运行代码利用n8n主密钥解密存储的令牌，并将其外泄至远程服务器。这是首次出现专门针对n8n生态系统的供应链攻击，攻击者通过滥用社区集成的信任机制达成目的。

安全建议

研究发现突显了集成不可信工作流带来的安全隐患，这会扩大攻击面。安全专家建议开发者在安装前审计软件包、仔细检查包元数据是否存在异常，并优先使用官方n8n集成组件。n8n官方已警告使用npm社区节点可能导致的安全风险，指出这些节点可在服务运行的机器上执行恶意操作。对于自托管n8n实例，建议通过设置N8N_COMMUNITY_PACKAGES_ENABLED为false来禁用社区节点。

研究人员Kiran Raj和Henrik Plate强调："社区节点拥有与n8n相同的访问权限，可读取环境变量、访问文件系统、发起出站网络请求，最关键的是能在工作流执行期间获取解密的API密钥和OAuth令牌。节点代码与n8n运行时之间不存在沙箱隔离机制。因此，单个恶意npm软件包就足以深度窥探工作流、窃取凭证并进行外部通信而不立即引发怀疑。对攻击者而言，npm供应链为渗透n8n环境提供了隐蔽且高效的入口。"