DuckDBのnpmパッケージがマルウェアに侵害される
2025-09-09
DuckDBのNode.js npmパッケージが巧妙なフィッシング攻撃によって侵害されました。4つのパッケージの悪意のあるバージョンが公開され、暗号通貨取引を妨害するように設計されたコードが含まれていました。幸い、これらの悪意のあるバージョンは、DuckDBチームによって特定され非推奨とされる前にダウンロードされなかったようです。チームは、悪意のあるバージョンを非推奨とし、更新された安全なバージョンをリリースすることで迅速に対応しました。この攻撃には、管理者をだまして2FAをリセットさせ、攻撃者に悪意のあるパッケージを公開する能力を与えた、説得力のある偽のnpmウェブサイトが含まれていました。このインシデントは、経験豊富な開発者であっても、堅牢なセキュリティプラクティスが重要であることを強調しています。
開発