Malware insertado en paquetes npm de DuckDB mediante un ataque a la cadena de suministro

 (github.com/duckdb)
1 puntos por yeorinhieut 2025-09-09 | 1 comentarios | Compartir por WhatsApp

Resumen del ataque a la cadena de suministro de DuckDB en npm

  • Paquetes afectados:

    • @duckdb/node-api@1.3.3
    • @duckdb/node-bindings@1.3.3
    • duckdb@1.3.3
    • @duckdb/duckdb-wasm@1.29.2

  • Método del ataque:

    • Un mantenedor de DuckDB cayó en un dominio de phishing llamado npmjs.help, inició sesión y restableció la configuración de 2FA. Durante ese proceso, se generó un token de API malicioso y se publicaron versiones comprometidas de los paquetes.

  • Impacto y respuesta:

    • Tras detectar el problema, esas versiones fueron marcadas de inmediato como obsoletas en npm.
    • Se lanzaron de emergencia nuevas versiones seguras (1.3.4, 1.30.0).

Lecturas relacionadas

1 comentarios

 
cocofather 2025-09-09

Ay, esto me pone nervioso.