工作流程自動化平臺n8n遭到濫用，駭客從事網釣活動散布有效酬載

思科威脅情報團隊Talos提出警告，他們發現從2025年10月至今年3月，濫用n8n寄送的惡意郵件數量成長686%。駭客濫用n8n的Webhook功能投放惡意郵件，誘使收信人存取需通過圖靈驗證CAPTCHA的釣魚網頁，若是依照指示操作，就會從外部伺服器下載有效酬載，其中包含遠端管理工具（RMM）Datto與ITarian Endpoint Management，駭客將這類工具當作後門來控制受害電腦。由於整個流程封裝在HTML檔案的JavaScript，瀏覽器會以為下載的內容來自n8n的網域。Talos指出，由於n8n的Webhook會隱藏資料的來源伺服器，攻擊者可傳遞來自不受信任來源的有效酬載，但讓資料看起來像是從受信任網域送出；同時，Webhook能根據觸發事件啟動，服務不同的資料流，因此攻擊者還能根據受害者的使用者代理字串（User Agent），量身打造有效酬載。

除了濫用n8n投放有效酬載，Talos也看到駭客用於收集裝置的識別資料（fingerprinting），具體作法是在惡意郵件嵌入隱形圖片或追蹤像素，一旦收信人透過Outlook、Gmail或其他收信軟體讀取信件，就會從特定網址擷取圖片。

當收信軟體試圖載入圖檔，就會自動向n8n的Webhook網址發送HTTP GET請求，相關網址包含收信人電子郵件信箱等追蹤參數，以便攻擊者的伺服器精確識別使用者的身分。