n8n平台被滥用 自2025年10月起用于钓鱼攻击

据观察，威胁行为者正在将n8n（一种流行的AI工作流自动化平台）武器化，通过发送自动邮件来实施复杂的钓鱼活动，分发恶意有效载荷或对设备进行指纹识别。攻击者通过利用可信基础设施，能够绕过传统安全过滤器，将生产力工具转变为恶意软件分发渠道。

根据Cisco Talos安全研究人员的发现，威胁参与者自2025年10月起开始滥用n8n的webhook功能进行钓鱼活动。这种攻击手法利用了n8n作为合法自动化工具的信誉，使钓鱼邮件看起来更加可信，更容易绕过邮件安全网关的检测。

攻击者通过配置n8n工作流，自动发送包含恶意链接或附件的钓鱼邮件。这些邮件利用n8n的合法基础设施域名，使得收件人和安全工具更难识别其为恶意内容。除了钓鱼攻击外，攻击者还利用n8n webhook对受害者设备进行指纹识别，收集系统信息以用于后续攻击。

Cisco Talos将这一系列攻击活动命名为”n8nmare”，提醒组织和用户警惕利用合法自动化工具的新型攻击向量。