Nguyễn Tiến Đạt
Intern Writer
Một lỗ hổng liên quan đến cơ chế Webhook trên nền tảng tự động hóa n8n đang bị các tác nhân tấn công mạng lợi dụng để triển khai các chiến dịch lừa đảo và phát tán phần mềm độc hại quy mô lớn.
Theo báo cáo mới từ Cisco Talos, các cuộc tấn công đã bắt đầu xuất hiện từ tháng 10/2025, trong đó tin tặc tận dụng hạ tầng đáng tin cậy của n8n để vượt qua các hệ thống lọc bảo mật truyền thống. Điều này khiến các email độc hại trở nên khó bị phát hiện hơn khi được ngụy trang dưới dạng liên kết hợp pháp.
n8n là một nền tảng tự động hóa quy trình làm việc, cho phép kết nối nhiều ứng dụng, API và dịch vụ AI để thực hiện các tác vụ tự động. Người dùng có thể tạo các quy trình thông qua webhook – một dạng “API ngược” giúp nhận dữ liệu theo thời gian thực thông qua các đường dẫn URL riêng biệt.
Chính đặc điểm này đã trở thành điểm yếu bị khai thác. Các URL webhook, vốn sử dụng tên miền phụ của n8n, bị lợi dụng để chèn vào email lừa đảo. Khi người dùng nhấp vào, trình duyệt sẽ xử lý nội dung như một trang web hợp lệ, từ đó kích hoạt các bước tiếp theo trong chuỗi tấn công.
Trong một số chiến dịch, nạn nhân được dẫn tới trang giả mạo có chứa CAPTCHA nhằm tạo cảm giác an toàn. Sau khi hoàn tất xác minh, hệ thống sẽ tự động tải xuống phần mềm độc hại từ máy chủ bên ngoài mà người dùng không hay biết.
Đáng chú ý, do quá trình này diễn ra thông qua nền tảng n8n, trình duyệt có thể hiểu nhầm rằng tệp tải xuống đến từ nguồn đáng tin cậy. Đây là yếu tố giúp tin tặc tăng tỷ lệ thành công của các cuộc tấn công.
Mục tiêu cuối cùng của các chiến dịch này là cài đặt các công cụ điều khiển từ xa đã bị chỉnh sửa, dựa trên những phần mềm hợp pháp. Sau khi xâm nhập thành công, kẻ tấn công có thể thiết lập kết nối tới máy chủ điều khiển để duy trì quyền truy cập lâu dài vào thiết bị của nạn nhân.
Ngoài việc phát tán mã độc, webhook của n8n còn bị lạm dụng để thu thập thông tin người dùng. Một phương thức phổ biến là nhúng các hình ảnh vô hình hoặc “pixel theo dõi” trong email. Khi email được mở, hệ thống sẽ tự động gửi yêu cầu đến máy chủ, giúp tin tặc xác định danh tính và hành vi của người nhận.
Theo các chuyên gia, việc các công cụ tự động hóa bị biến thành “vũ khí” tấn công mạng cho thấy mặt trái của công nghệ mã thấp (low-code). Những nền tảng được thiết kế để tối ưu hiệu suất làm việc đang bị lợi dụng để tự động hóa các hoạt động độc hại.
Cisco Talos cảnh báo rằng các tổ chức cần nâng cao cảnh giác, đặc biệt với các liên kết sử dụng nền tảng trung gian đáng tin cậy. Đồng thời, việc tăng cường kiểm soát và giám sát các công cụ tự động hóa cũng là yếu tố quan trọng nhằm hạn chế rủi ro trong bối cảnh các hình thức tấn công ngày càng tinh vi.
Theo báo cáo mới từ Cisco Talos, các cuộc tấn công đã bắt đầu xuất hiện từ tháng 10/2025, trong đó tin tặc tận dụng hạ tầng đáng tin cậy của n8n để vượt qua các hệ thống lọc bảo mật truyền thống. Điều này khiến các email độc hại trở nên khó bị phát hiện hơn khi được ngụy trang dưới dạng liên kết hợp pháp.
n8n là một nền tảng tự động hóa quy trình làm việc, cho phép kết nối nhiều ứng dụng, API và dịch vụ AI để thực hiện các tác vụ tự động. Người dùng có thể tạo các quy trình thông qua webhook – một dạng “API ngược” giúp nhận dữ liệu theo thời gian thực thông qua các đường dẫn URL riêng biệt.
Chính đặc điểm này đã trở thành điểm yếu bị khai thác. Các URL webhook, vốn sử dụng tên miền phụ của n8n, bị lợi dụng để chèn vào email lừa đảo. Khi người dùng nhấp vào, trình duyệt sẽ xử lý nội dung như một trang web hợp lệ, từ đó kích hoạt các bước tiếp theo trong chuỗi tấn công.
Trong một số chiến dịch, nạn nhân được dẫn tới trang giả mạo có chứa CAPTCHA nhằm tạo cảm giác an toàn. Sau khi hoàn tất xác minh, hệ thống sẽ tự động tải xuống phần mềm độc hại từ máy chủ bên ngoài mà người dùng không hay biết.
Đáng chú ý, do quá trình này diễn ra thông qua nền tảng n8n, trình duyệt có thể hiểu nhầm rằng tệp tải xuống đến từ nguồn đáng tin cậy. Đây là yếu tố giúp tin tặc tăng tỷ lệ thành công của các cuộc tấn công.
Mục tiêu cuối cùng của các chiến dịch này là cài đặt các công cụ điều khiển từ xa đã bị chỉnh sửa, dựa trên những phần mềm hợp pháp. Sau khi xâm nhập thành công, kẻ tấn công có thể thiết lập kết nối tới máy chủ điều khiển để duy trì quyền truy cập lâu dài vào thiết bị của nạn nhân.
Ngoài việc phát tán mã độc, webhook của n8n còn bị lạm dụng để thu thập thông tin người dùng. Một phương thức phổ biến là nhúng các hình ảnh vô hình hoặc “pixel theo dõi” trong email. Khi email được mở, hệ thống sẽ tự động gửi yêu cầu đến máy chủ, giúp tin tặc xác định danh tính và hành vi của người nhận.
Theo các chuyên gia, việc các công cụ tự động hóa bị biến thành “vũ khí” tấn công mạng cho thấy mặt trái của công nghệ mã thấp (low-code). Những nền tảng được thiết kế để tối ưu hiệu suất làm việc đang bị lợi dụng để tự động hóa các hoạt động độc hại.
Cisco Talos cảnh báo rằng các tổ chức cần nâng cao cảnh giác, đặc biệt với các liên kết sử dụng nền tảng trung gian đáng tin cậy. Đồng thời, việc tăng cường kiểm soát và giám sát các công cụ tự động hóa cũng là yếu tố quan trọng nhằm hạn chế rủi ro trong bối cảnh các hình thức tấn công ngày càng tinh vi.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview