DuckDB NPM packages 1.3.3 and 1.29.2 compromised with malware
8 months ago
- #phishing
- #npm
- #security
- DuckDB的npm Node.js软件包被植入针对加密货币交易的恶意代码
- 受影响软件包包括@duckdb/node-api@1.3.3、@duckdb/node-bindings@1.3.3、duckdb@1.3.3和@duckdb/duckdb-wasm@1.29.2
- 恶意版本在被弃用前未记录到任何下载记录
- DuckDB维护团队已弃用受影响版本并发布安全更新(1.3.4/1.30.0)
- 此次入侵源于攻击者通过伪造npmjs.help网站实施的钓鱼攻击
- 攻击者使用窃取的凭证发布恶意包,但在数小时内即被检测发现
- DuckDB团队已重置密码、令牌和API密钥以保护npm账户
- 正在审查内部流程以防止未来安全漏洞