サプライチェーン攻撃によりduckdbのnpmパッケージへマルウェアが混入

 (github.com/duckdb)
1 ポイント 投稿者 yeorinhieut 2025-09-09 | 1件のコメント | WhatsAppで共有

DuckDB npmサプライチェーン攻撃の要約

  • 攻撃対象:

    • @duckdb/node-api@1.3.3
    • @duckdb/node-bindings@1.3.3
    • duckdb@1.3.3
    • @duckdb/duckdb-wasm@1.29.2

  • 攻撃手法:

    • DuckDBのメンテナーがnpmjs.helpというフィッシングドメインにだまされてログインし、2FA設定をリセット。その過程で悪意あるAPIトークンが作成され、悪性パッケージ版が公開された。

  • 影響と対応:

    • 問題発生後、該当バージョンは直ちにnpmでdeprecated処理された。
    • 安全な新バージョン(1.3.41.30.0)が緊急リリースされた。

関連記事

1件のコメント

 
cocofather 2025-09-09

ああ、不安になりますね