كشفت وحدة أبحاث Cisco Talos عن حملة متطورة استغل فيها المهاجمون منصة n8n الشهيرة لأتمتة سير العمل المبني على الذكاء الاصطناعي، وذلك لتسهيل هجمات تصيّد إلكتروني واسعة النطاق ونشر برمجيات خبيثة أو جمع بصمات الأجهزة عبر رسائل بريد إلكتروني آلية. هذه الاستغلالات بدأت منذ أكتوبر 2025، وارتفعت بشكل ملحوظ في مارس 2026 بنسبة 686% مقارنة ببداية عام 2025.
كيف يتم استغلال Webhooks في n8n؟
منصة n8n تتيح للمستخدمين إنشاء webhooks، وهي عناوين URL فريدة تستقبل البيانات من التطبيقات والخدمات عند وقوع أحداث معينة. هذه المرونة، التي صُممت لتسهيل التكامل بين التطبيقات، تحولت إلى نقطة ضعف خطيرة. المهاجمون قاموا بإنشاء روابط webhook على نطاقات فرعية من نوع، ثم دمجها داخل رسائل بريد إلكتروني تبدو شرعية. عند النقر على الرابط، يتم تشغيل سلسلة من الخطوات الآلية التي قد تعرض صفحة CAPTCHA، وبمجرد إتمامها يبدأ تنزيل حمولة خبيثة من خادم خارجي، بينما يظهر للمتصفح أن العملية جاءت من نطاق موثوق تابع لـ n8n.
حملات التصيّد وآليات الهجوم
في إحدى الحملات، أرسل المهاجمون رسائل بريدية تدّعي مشاركة مستندات، مع تضمين رابط webhook مستضاف على n8n. بعد النقر، يُعرض للمستخدم اختبار CAPTCHA، ثم يبدأ تنزيل ملف تنفيذي أو مثبت MSI يحتوي على نسخة معدلة من أدوات إدارة الأجهزة عن بُعد (RMM) مثل Datto وITarian Endpoint Management. هذه الأدوات تُستخدم لاحقاً لإنشاء اتصال دائم مع خوادم التحكم والسيطرة (C2) الخاصة بالمهاجمين، مما يمنحهم وصولاً مستمراً إلى الأجهزة المصابة.
استغلال n8n في جمع البصمات الرقمية
إلى جانب نشر البرمجيات الخبيثة، استغل المهاجمون المنصة في البصمة الرقمية (Fingerprinting) عبر تضمين صور غير مرئية أو “tracking pixels” داخل الرسائل. بمجرد فتح البريد الإلكتروني، يُرسل المتصفح طلب HTTP GET إلى رابط webhook مع بيانات مثل عنوان البريد الإلكتروني للضحية، مما يمكّن المهاجمين من تحديد هوية المستلمين ومتابعة نشاطهم.
خطورة الاستغلال ودروس مستفادة
ما يجعل هذه الهجمات خطيرة هو اعتمادها على بنية تحتية موثوقة، مما يسمح لها بتجاوز مرشحات الأمان التقليدية. الباحثون في Cisco Talos أكدوا أن نفس الأدوات التي صُممت لتوفير الوقت للمطورين أصبحت تُستخدم الآن لتسريع نشر البرمجيات الخبيثة وجمع البيانات، بفضل سهولة التكامل والأتمتة. هذا يضع مسؤولية إضافية على فرق الأمن لضمان أن منصات الأتمتة منخفضة الكود تبقى أصولاً مفيدة وليست نقاط ضعف.
