Paquetes DuckDB de npm comprometidos con malware
Los paquetes Node.js npm de DuckDB fueron comprometidos por un sofisticado ataque de phishing. Se publicaron versiones maliciosas de cuatro paquetes, que contenían código diseñado para interferir en las transacciones de criptomonedas. Afortunadamente, estas versiones maliciosas aparentemente no se descargaron antes de ser identificadas y obsoletas por el equipo de DuckDB. El equipo respondió rápidamente obsoletizando las versiones maliciosas y lanzando versiones actualizadas y seguras. El ataque implicó un sitio web npm falso convincente que engañó a un mantenedor para que restableciera su 2FA, otorgando a los atacantes la capacidad de publicar los paquetes maliciosos. Este incidente destaca la importancia de las prácticas de seguridad sólidas, incluso para desarrolladores experimentados.