Un malware inséré dans le package npm de DuckDB via une attaque de la chaîne d’approvisionnement

 (github.com/duckdb)
1 points par yeorinhieut 2025-09-09 | 1 commentaires | Partager sur WhatsApp

Résumé de l’attaque de la chaîne d’approvisionnement visant DuckDB sur npm

  • Paquets ciblés :

    • @duckdb/node-api@1.3.3
    • @duckdb/node-bindings@1.3.3
    • duckdb@1.3.3
    • @duckdb/duckdb-wasm@1.29.2

  • Mode d’attaque :

    • Un mainteneur de DuckDB a été piégé par le domaine de phishing npmjs.help, s’y est connecté et a réinitialisé la configuration 2FA. Au cours de ce processus, un jeton API malveillant a été créé, ce qui a permis la publication de versions de paquets malveillantes.

  • Impact et réponse :

    • Dès la découverte du problème, ces versions ont immédiatement été marquées comme obsolètes sur npm.
    • De nouvelles versions sûres (1.3.4, 1.30.0) ont été publiées en urgence.

À lire aussi

1 commentaires

 
cocofather 2025-09-09

Aïe, ça devient inquiétant.