يكتشف المحللون الأمنيون استغلالاً جديداً لأدوات أتمتة سير العمل المدعومة بالذكاء الاصطناعي، حيث يستغل مجرمو الإنترنت منصة n8n لإيصال البرمجيات الخبيثة. بدلاً من بناء بنية تحتية خاصة بهم، تستفيد الجهات الخبيثة من هذه الأدوات التعاونية لتجاوز الدفاعات التقليدية.
بدأت هذه الأنشطة المراقبة في أواخر عام 2025 واستمرت حتى مارس 2026، حيث قام المهاجمون بإنشاء حسابات مجانية على منصة n8n، مما أتاح لهم نطاقات فرعية ضمن نطاق `*.app.n8n[.]cloud`. ونظرًا لأن هذه النطاقات الفرعية مرتبطة بخدمة معروفة، فإن رسائل البريد الإلكتروني الصادرة منها تعتبر موثوقة من قبل العديد من بوابات الأمان المؤسسية، مما يسهل وصول المحتوى الخبيث.
استغلال منصات الذكاء الاصطناعي في هجمات البرمجيات الخبيثة
كشف باحثون أمنيون من Cisco Talos عن تفاصيل هذه الحملات، مشيرين إلى أن أبرز نقاط الاستغلال كانت خطافات الويب (webhooks) المكشوفة في n8n، وهي ميزة تسمح للتطبيقات بإرسال بيانات في الوقت الفعلي. وقد شهد شهر مارس 2026 زيادة ملحوظة في رسائل البريد الإلكتروني التي تحتوي على عناوين n8n webhook، مما يشير إلى تصعيد في هذا النوع من الاستغلال.
تنوعت أهداف المهاجمين لتشمل إيصال برمجيات خبيثة مباشرة، بالإضافة إلى جمع معلومات عن الأجهزة المستهدفة. فمن خلال تضمين بكسلات تتبع غير مرئية مستضافة على عناوين n8n webhook داخل رسائل البريد الإلكتروني، تمكن المهاجمون من جمع بيانات حول الجهاز مثل نوع المتصفح وعنوان IP لمجرد فتح البريد الإلكتروني.
أهداف مزدوجة: توزيع البرمجيات الخبيثة وجمع المعلومات
في الوقت نفسه، استهدفت حملات تصيد إلكتروني منفصلة نشر حمولات برمجية ضارة على أجهزة الضحايا باستخدام نفس نهج التسليم عبر webhook. لقد قام المهاجمون بتحويل أداة مصممة لأتمتة سير العمل إلى سلاح فعال.
وتضمنت إحدى الحملات الموثقة جيدًا رسائل تصيد احتيالي انتحلت صفة إشعارات مشاركة ملفات OneDrive. عند النقر على رابط n8n webhook المضمن، كان يتم توجيه المتلقي إلى صفحة HTML تحتوي على تحدي CAPTCHA، مما يساعد على تصفية الماسحات الآلية.
بعد اجتياز CAPTCHA، يظهر زر تحميل، ويتم تنزيل ملف باسم `DownloadedOneDriveDocument.exe` بصمت من مضيف خارجي. وبما أن العملية كانت تعمل بالكامل ضمن JavaScript الخاص بنطاق n8n، بدا التنزيل وكأنه يأتي من البنية التحتية الموثوقة لمنصة n8n.
عند تشغيل هذا الملف، قام بتثبيت نسخة معدلة من أداة Datto Remote Monitoring and Management (RMM)، وهي أداة شرعية للإدارة عن بعد. ثم استخدمت البرمجية الخبيثة أوامر PowerShell لتكوين Datto RMM كمهمة مجدولة، مما أنشأ اتصالًا ثابتًا بعالمة وسيطة على نطاق `centrustage[.]net` قبل حذف نفسها وغطاء الحمولة لتغطية آثارها.
حملة أخرى ذات صلة استخدمت n8n webhook بنفس الطريقة، ولكنها نشرت ملف تثبيت Windows (MSI) معدل. هذا الملف قام بتثبيت أداة ITarian Endpoint Management RMM، التي عملت كباب خلفي وقامت بتشغيل وحدات Python لتسريب البيانات من النظام المخترق، مع عرض شريط تقدم تثبيت وهمي لإخفاء النشاط الحقيقي.
اعتمدت كلتا الحملتين على نفس المنطق الأساسي: توجيه الضحايا عبر نطاق موثوق، وإخفاء التسليم تحت ستار شيء عادي، وتثبيت أداة وصول عن بعد تعمل بصمت على النظام. وقد جعلت مرونة n8n وسهولة تكاملها منصة مثالية لهذا النهج، حيث لم تكن هناك حاجة لبنية تحتية متقدمة لتنفيذ العملية.
قدم باحثو Cisco Talos مجموعة من التوصيات لتقليل التعرض لهذا النوع من التهديدات. أوصى الباحثون بتجاوز حظر النطاقات الثابت، لأن حظر `n8n[.]cloud` بالكامل قد يعطل سير العمل المشروع. بدلاً من ذلك، يجب على المدافعين تنفيذ الكشف السلوكي الذي ينبه عند توجيه كميات غير عادية من حركة المرور إلى نطاقات منصات الأتمتة من مصادر داخلية غير متوقعة.
يجب على فرق الأمن أيضًا تحديد أي نقطة نهاية تحاول الاتصال بنطاقات منصات الأتمتة التي تقع خارج مخزون سير العمل المعتمد للمؤسسة، حيث يمكن أن يشير ذلك إلى اختراق نشط. كما يعتبر تبادل مؤشرات الاختراق (IOCs)، بما في ذلك هياكل عناوين webhook المحددة، وتجزئة الملفات الضارة، ونطاقات القيادة والتحكم المعروفة، إجراءً عمليًا.
أخيرًا، يجب على المؤسسات نشر حلول أمان البريد الإلكتروني المدعومة بالذكاء الاصطناعي التي تحلل الإشارات السلوكية، وليس مجرد تقييمات السمعة، للقبض على التهديدات التي تنتقل عبر بنية تحتية موثوقة.