Malware disisipkan ke paket npm DuckDB melalui serangan rantai pasok

 (github.com/duckdb)
1 poin oleh yeorinhieut 2025-09-09 | 1 komentar | Bagikan ke WhatsApp

Ringkasan serangan rantai pasok npm DuckDB

  • Target serangan:

    • @duckdb/node-api@1.3.3
    • @duckdb/node-bindings@1.3.3
    • duckdb@1.3.3
    • @duckdb/duckdb-wasm@1.29.2

  • Metode serangan:

    • Maintainer DuckDB tertipu oleh domain phishing npmjs.help, lalu login dan mereset pengaturan 2FA. Dalam proses tersebut, token API berbahaya dibuat dan versi paket berbahaya dipublikasikan.

  • Dampak dan respons:

    • Setelah masalah terdeteksi, versi-versi tersebut segera ditandai deprecated di npm.
    • Versi baru yang aman (1.3.4, 1.30.0) dirilis secara darurat.

Bacaan terkait

1 komentar

 
cocofather 2025-09-09

Aduh, jadi bikin cemas ya.