공급망 공격으로 duckdb npm 패키지에 멀웨어 삽입됨

7 hours ago 2

공격 대상:
- @duckdb/node-api@1.3.3
- @duckdb/node-bindings@1.3.3
- duckdb@1.3.3
- @duckdb/duckdb-wasm@1.29.2
공격 방식:
- DuckDB 유지보수자가 npmjs.help라는 피싱 도메인에 속아 로그인하고 2FA 설정을 리셋. 그 과정에서 악의적인 API 토큰이 생성되어 악성 패키지 버전이 게시됨.
영향 및 대응:
- 문제 발생 후 즉시 해당 버전들을 npm에서 deprecated 처리.
- 안전한 새 버전 (1.3.4, 1.30.0)을 긴급히 릴리스.

게임 정보