Webhooks do n8n vêm sendo explorados desde outubro de 2025 como parte de campanhas de phishing usadas para distribuir malware. A atividade mostra como ferramentas legítimas de automação podem ser convertidas em apoio operacional para ataques mais discretos e difíceis de bloquear.
O n8n é conhecido por automatizar fluxos entre aplicações e serviços, o que torna seus webhooks úteis para integrações e processamento de dados. Nas mãos de atacantes, porém, esse mesmo recurso pode servir para redirecionar vítimas, entregar conteúdo malicioso ou acionar etapas automatizadas da campanha.
A exploração chama atenção porque o abuso de plataformas legítimas tende a reduzir suspeitas iniciais. Assim como ocorre com outros serviços confiáveis, a presença de URLs associadas a uma ferramenta conhecida pode aumentar a taxa de entrega dos e-mails e dificultar decisões automáticas de bloqueio.
Campanhas desse tipo costumam usar mensagens que simulam notificações, documentos compartilhados ou alertas operacionais. Ao interagir com o conteúdo, a vítima pode ser levada a baixar arquivos, acessar páginas maliciosas ou iniciar cadeias de infecção que terminam na instalação de malware.
O uso continuado desde outubro de 2025 indica que os operadores encontraram valor tático nessa abordagem. Persistência ao longo de meses sugere adaptação da infraestrutura, testes de eficácia e provável reaproveitamento dos mesmos mecanismos em múltiplas campanhas.
