Pacotes DuckDB do npm Comprometidos com Malware
Os pacotes Node.js npm do DuckDB foram comprometidos por um ataque de phishing sofisticado. Versões maliciosas de quatro pacotes foram publicadas, contendo código projetado para interferir em transações de criptomoedas. Felizmente, essas versões maliciosas aparentemente não foram baixadas antes de serem identificadas e depreciadas pela equipe do DuckDB. A equipe respondeu rapidamente depreciando as versões maliciosas e lançando versões atualizadas e seguras. O ataque envolveu um site npm falso convincente que enganou um mantenedor para redefinir seu 2FA, dando aos atacantes a capacidade de publicar os pacotes maliciosos. Este incidente destaca a importância de práticas de segurança robustas, mesmo para desenvolvedores experientes.