Malware durch Supply-Chain-Angriff in duckdb-npm-Pakete eingeschleust

 (github.com/duckdb)
1 Punkte von yeorinhieut 2025-09-09 | 1 Kommentare | Auf WhatsApp teilen

Zusammenfassung des DuckDB-npm-Supply-Chain-Angriffs

  • Betroffene Pakete:

    • @duckdb/node-api@1.3.3
    • @duckdb/node-bindings@1.3.3
    • duckdb@1.3.3
    • @duckdb/duckdb-wasm@1.29.2

  • Angriffsweg:

    • Ein DuckDB-Maintainer wurde durch die Phishing-Domain npmjs.help getäuscht, meldete sich dort an und setzte die 2FA-Einstellungen zurück. Dabei wurde ein bösartiges API-Token erzeugt, mit dem schädliche Paketversionen veröffentlicht wurden.

  • Auswirkungen und Reaktion:

    • Nach Bekanntwerden des Problems wurden die betreffenden Versionen auf npm sofort als veraltet markiert.
    • Sichere neue Versionen (1.3.4, 1.30.0) wurden kurzfristig veröffentlicht.

Verwandte Beiträge

1 Kommentare

 
cocofather 2025-09-09

Ach, das macht einen ganz nervös.