Tin tặc đang lạm dụng n8n – nền tảng tự động hóa quy trình làm việc bằng AI phổ biến – để triển khai các chiến dịch lừa đảo tinh vi, phát tán mã độc và thu thập dấu vân tay thiết bị. Bằng cách tận dụng cơ sở hạ tầng đáng tin cậy của n8n, nhóm lừa đảo dễ dàng vượt qua các bộ lọc bảo mật truyền thống để duy trì quyền truy cập từ xa vào hệ thống nạn nhân.

Chiến dịch lần đầu được phát hiện bởi các nhà nghiên cứu tại Cisco Talos từ tháng 10/2025. Theo phân tích, lượng email chứa URL độc hại liên quan đến n8n vào tháng 3/2026 đã tăng vọt 686% so với đầu năm 2025. Đối tượng tấn công đã lợi dụng cơ chế cho phép tạo tài khoản miễn phí với miền tùy chỉnh <tên tài khoản>.app.n8n.cloud để tạo ra một “vỏ bọc” hoàn toàn hợp pháp, đánh lừa cả người dùng lẫn các hệ thống quét an ninh.

Cơ chế hoạt động của cuộc tấn công

Kẻ phát tán mã độc lợi dụng tính linh hoạt của các công cụ low-code để biến n8n thành một cơ sở hạ tầng tấn công (C2 infrastructure) dưới vỏ bọc dịch vụ đám mây hợp pháp. Thay vì phải tự thiết lập server riêng dễ bị đánh dấu là “độc hại”, đối tượng tấn công đăng ký các tài khoản nhà phát triển miễn phí để sở hữu các miền phụ có định dạng <tên tài khoản>.app.n8n.cloud. Tại đây, chúng thiết lập các Webhook đóng vai trò là “người nghe” để nhận yêu cầu và khởi chạy các luồng công việc tự động qua hai kịch bản chính:

  • Phát tán mã độc qua cơ chế Webhook-to-HTML: Liên kết Webhook n8n được chèn vào các email lừa đảo mạo danh tài liệu được chia sẻ. Khi nạn nhân nhấp vào, URL này kích hoạt một quy trình làm việc trả về kết quả dưới dạng luồng dữ liệu HTTP. Trình duyệt của người nhận lúc này đóng vai trò là ứng dụng nhận, xử lý đầu ra và hiển thị một trang web có mã CAPTCHA.

    Điểm tinh vi: Vì toàn bộ logic này được đóng gói trong JavaScript của tài liệu HTML gửi về từ n8n, trình duyệt sẽ coi việc tải xuống các tệp thực thi (.MSI hoặc .EXE) sau khi giải CAPTCHA là hợp lệ và bắt nguồn từ miền đáng tin cậy của n8n, giúp bypass các bộ lọc bảo mật dựa trên danh tiếng tên miền.

  • Lấy dấu vân tay thiết bị tự động: Nhóm lừa đảo chèn các “pixel theo dõi” hoặc hình ảnh vô hình được lưu trữ trực tiếp trên URL Webhook của n8n vào nội dung email. Ngay khi thư được mở, ứng dụng email của nạn nhân tự động gửi một yêu cầu HTTP GET đến n8n cùng các thông số theo dõi (như địa chỉ email, IP, loại thiết bị). Hệ thống tự động hóa của n8n lập tức ghi nhận dữ liệu này, cho phép đối tượng tấn công nhận diện chính xác nạn nhân và phân loại mục tiêu cho các giai đoạn khai thác chuyên sâu hơn.

Mục tiêu cuối cùng của nhóm tấn công là sử dụng các tệp tin này đóng vai trò như các stager để cài đặt những công cụ quản trị từ xa (RMM) phổ biến như Datto hoặc ITarian đã bị biến đổi mã nguồn. Việc lợi dụng các phần mềm đáng tin cậy giúp chúng duy trì quyền truy cập bền bỉ vào hệ thống và kết nối ổn định với máy chủ điều khiển (C2) mà không gây ra những nghi ngờ bất thường cho đội ngũ giám sát an ninh (SOC).

Khuyến cáo từ chuyên gia bảo mật

Trước sự tinh vi của các chiến dịch lạm dụng nền tảng tự động hóa làm vũ khí tấn công, các tổ chức cần triển khai ngay các biện pháp phòng vệ:

  • Audit và Rà soát hạ tầng mạng:

    • Thực hiện truy vấn trong nhật ký hệ thống (Proxy/DNS logs) để phát hiện mọi truy cập đến các subdomain có định dạng *.app.n8n.cloud.

    • Kiểm tra các biến thể tên miền tương tự có thể bị lợi dụng để giả mạo n8n. Đặc biệt lưu ý các kết nối phát sinh từ những máy trạm không có chức năng nghiệp vụ liên quan đến phát triển phần mềm hoặc tự động hóa.

  • Cấu hình Hardening cho hệ thống Email Gateway:

    • Cập nhật quy tắc trên bộ lọc Email (SEG) để nhận diện và gắn cờ cảnh báo đối với các email chứa liên kết dẫn đến các nền tảng Low-code/No-code (n8n, Make, Zapier).

    • Áp dụng cơ chế URL RewritingSandboxing để phân tích hành vi của các liên kết này trước khi cho phép người dùng cuối tiếp cận.

  • Kiểm soát và Giám sát công cụ Quản trị từ xa (RMM):

    • Xây dựng danh mục ứng dụng được phép đối với các phần mềm RMM. Sử dụng các giải pháp EDR/XDR để giám sát và ngăn chặn ngay lập tức sự xuất hiện của các tiến trình liên quan đến Datto, ITarian, AnyDesk hoặc ScreenConnect nếu chúng không thuộc sở hữu của bộ phận IT.

    • Tập trung giám sát các hành vi tạo kết nối ra ngoài không xác định từ các công cụ này về các địa chỉ IP lạ hoặc máy chủ điều khiển (C2).

  • Kỹ thuật hóa quy trình Nâng cao nhận thức người dùng:

    • Tổ chức các đợt diễn tập phishing mô phỏng cụ thể kịch bản “yêu cầu giải CAPTCHA để xem tài liệu” trên các nền tảng đám mây.

    • Đào tạo nhân viên cách nhận diện dấu hiệu của một trang Webhook độc hại, nhấn mạnh việc không bao giờ thực hiện các thao tác xác thực hoặc tải xuống tệp tin từ các liên kết trung gian không thuộc hệ sinh thái chính thức của doanh nghiệp.

  • Áp dụng nguyên tắc Đặc quyền tối thiểu (Least Privilege):

    • Hạn chế quyền cài đặt phần mềm và thực thi các tệp tin .msi, .exe trên máy trạm của người dùng phổ thông. Điều này giúp chặn đứng chuỗi tấn công ngay tại giai đoạn stager khi tin tặc cố gắng tuồn mã độc vào hệ thống.

Việc áp dụng đồng bộ và kịp thời các biện pháp trên không chỉ giúp giảm thiểu rủi ro từ n8n mà còn tăng khả năng chống chịu trước các chiến dịch tấn công chuỗi cung ứng vốn ngày càng được tự động hóa và tùy biến cao nhờ AI.

Nguồn: The Hacker News