DuckDB npm 包遭恶意软件入侵
2025-09-09
DuckDB 的 Node.js npm 包遭到恶意软件攻击,攻击者发布了四个包含恶意代码的软件包版本,这些恶意代码会干扰加密货币交易。幸运的是,在 npm 团队发现并修复问题之前,这些恶意版本似乎没有被下载。DuckDB 团队已采取措施下架恶意版本,并发布了更新的版本。此次事件源于一次成功的网络钓鱼攻击,攻击者伪造了 npm 网站,诱骗管理员重置了 2FA,从而获得了发布恶意软件包的权限。此事件提醒我们,即使是经验丰富的开发者也可能成为网络钓鱼攻击的受害者,加强安全意识至关重要。
开发