DuckDB npm-Pakete mit Malware kompromittiert
Die Node.js npm-Pakete von DuckDB wurden durch einen ausgeklügelten Phishing-Angriff kompromittiert. Bösartige Versionen von vier Paketen wurden veröffentlicht, die Code enthielten, der darauf ausgelegt war, Kryptowährungstransaktionen zu stören. Glücklicherweise scheinen diese bösartigen Versionen nicht heruntergeladen worden zu sein, bevor sie vom DuckDB-Team identifiziert und veraltet wurden. Das Team reagierte schnell, indem es die bösartigen Versionen veraltete und aktualisierte, sichere Versionen veröffentlichte. Der Angriff beinhaltete eine überzeugende gefälschte npm-Website, die einen Maintainer dazu brachte, seinen 2FA zurückzusetzen, wodurch die Angreifer die Möglichkeit erhielten, die bösartigen Pakete zu veröffentlichen. Dieser Vorfall unterstreicht die Bedeutung robuster Sicherheitspraktiken, selbst für erfahrene Entwickler.