Malware inserido no pacote npm do DuckDB em ataque à cadeia de suprimentos

 (github.com/duckdb)
1 pontos por yeorinhieut 2025-09-09 | 1 comentários | Compartilhar no WhatsApp

Resumo do ataque à cadeia de suprimentos do DuckDB no npm

  • Alvos do ataque:

    • @duckdb/node-api@1.3.3
    • @duckdb/node-bindings@1.3.3
    • duckdb@1.3.3
    • @duckdb/duckdb-wasm@1.29.2

  • Método do ataque:

    • Um mantenedor do DuckDB foi enganado por um domínio de phishing chamado npmjs.help, fez login e redefiniu a configuração de 2FA. Nesse processo, um token de API malicioso foi criado e versões comprometidas dos pacotes foram publicadas.

  • Impacto e resposta:

    • Assim que o problema foi identificado, essas versões foram imediatamente marcadas como deprecated no npm.
    • Novas versões seguras (1.3.4, 1.30.0) foram lançadas em caráter emergencial.

Leituras relacionadas

1 comentários

 
cocofather 2025-09-09

Nossa, isso dá um medo.