هجوم سلسلة التوريد يستهدف منصة n8n: عقد المجتمع تتحول إلى أداة لسرقة رموز OAuth

في تطور جديد يسلط الضوء على خطورة هجمات سلسلة التوريد، رصد باحثون في الأمن السيبراني قيام جهات تهديدية برفع ثمانية حزم خبيثة على سجل npm، تتظاهر بأنها تكاملات شرعية مع منصة n8n الخاصة بأتمتة سير العمل، لكنها في الواقع مصممة لسرقة بيانات اعتماد المطورين، وعلى رأسها رموز OAuth.

كيف تعمل الحزم الخبيثة؟

إحدى هذه الحزم، المسماة n8n-nodes-hfgjf-irtuinvcm-lasdqewriit، تقلّد تكاملاً مع Google Ads، حيث تطلب من المستخدمين ربط حساباتهم الإعلانية عبر نموذج يبدو شرعياً، ثم تقوم بتحويل البيانات إلى خوادم تحت سيطرة المهاجمين. وبمجرد تثبيت هذه الحزم كعقد مجتمع داخل n8n، فإنها تعرض شاشات إعداد طبيعية، وتخزن الرموز في قاعدة بيانات الاعتمادات، لكنها تنفذ شيفرة خفية لفك تشفيرها باستخدام المفتاح الرئيسي للنظام وإرسالها إلى الخارج.

تصعيد جديد في تهديدات سلسلة التوريد

بحسب تقرير Endor Labs، فإن هذا الهجوم يمثل تصعيداً نوعياً مقارنة بالبرمجيات الخبيثة التقليدية على npm، إذ يستهدف منصات أتمتة سير العمل التي تعمل كخزائن مركزية للاعتمادات، وتحتوي على رموز OAuth ومفاتيح API وبيانات حساسة لعشرات الخدمات مثل Google Ads وStripe وSalesforce.

قائمة الحزم المشبوهة

من بين الحزم التي تم رصدها وإزالتها:

• n8n-nodes-hfgjf-irtuinvcm-lasdqewriit (4241 تحميل)
• n8n-nodes-ggdv-hdfvcnnje-uyrokvbkl (1657 تحميل)
• n8n-nodes-vbmkajdsa-uehfitvv-ueqjhhhksdlkkmz (1493 تحميل)
• n8n-nodes-performance-metrics (752 تحميل)
• n8n-nodes-gasdhgfuy-rejerw-ytjsadx (8385 تحميل)
• n8n-nodes-danev (5525 تحميل)
• n8n-nodes-rooyai-model (1731 تحميل)
• n8n-nodes-zalo-vietts (4241 تحميل)

التحقيقات ربطت بعض المؤلفين مثل zabuza-momochi وdan_even_segler وdiendh بمكتبات أخرى لا تزال متاحة للتنزيل، ما يثير مخاوف من استمرار الحملة. اللافت أن إحدى هذه الحزم، n8n-nodes-gg-udhasudsh-hgjkhg-official، تم تحديثها قبل ساعات قليلة فقط، مما يشير إلى أن النشاط ما زال جارياً.

مخاطر العقد المجتمعية في n8n

أوضحت منصة n8n أن العقد المجتمعية تعمل بنفس مستوى صلاحيات النظام الأساسي، ما يعني أنها قادرة على قراءة المتغيرات البيئية، الوصول إلى نظام الملفات، تنفيذ طلبات شبكة خارجية، والأخطر من ذلك، الحصول على مفاتيح API ورموز OAuth مفككة أثناء تنفيذ سير العمل. وبغياب أي آلية للعزل أو الـsandboxing، فإن حزمة خبيثة واحدة تكفي لاختراق بيئة كاملة.

توصيات للحد من المخاطر

• تدقيق الحزم قبل تثبيتها وفحص بياناتها الوصفية.
• الاعتماد على التكاملات الرسمية لـ n8n فقط.
• تعطيل العقد المجتمعية في النسخ المستضافة ذاتياً عبر ضبط المتغير N8N_COMMUNITY_PACKAGES_ENABLED=false.

هذا الهجوم يبرز كيف يمكن للمهاجمين استغلال الثقة في مجتمع المطورين لإيجاد مدخل هادئ وفعال إلى بيئات حساسة، مما يجعل سلسلة التوريد واحدة من أخطر جبهات الأمن السيبراني في الوقت الراهن.