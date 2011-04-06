The OpenNET Project / Index page

Атакующие получили контроль над NPM-пакетами проекта DuckDB и опубликовали вредоносные выпуски

10.09.2025 08:21

История с компрометацией 18 NPM-пакетов, в сумме насчитывающих более 2 миллиардов загрузок в неделю, получила продолжение. Выявлен аналогичный захват через фишинг учётных данных сопровождающего NPM-пакеты проекта DuckDB. Для пакетов DuckDB также были сформированы версии с вредоносным кодом, осуществляющим подмену реквизитов при проведении платежей через криптовалюты, но атака была сразу выявлена и зафиксированы лишь единичные загрузки вредоносных пакетов. При этом по предварительным данным пакеты с вредоносной вставкой, опубликованные в ходе вчера анонсированной атаки на 18 NPM-пакетов, успели загрузить более 2.5 миллионов раз.

Пакеты, скомпрометированные во второй фишинговой атаке:

ПакетПиковое число загрузок в неделюЧисло зависимостейВерсия с вредоносным кодом
duckdb242 тысячи611.3.3
@duckdb/duckdb-wasm170 тысяч431.3.3
@duckdb/node-api81 тысяча336.2.2
@duckdb/node-bindings82 тысячи11.29.2
@coveops/abi55102.0.1


Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/63854-duckdb
Ключевые слова: duckdb, npm
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (12) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Жироватт (ok), 08:44, 10/09/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    Шо, опять?
    Никогда ж такого не было - и вот опять.

    А, между прочим, карго так активно еще не ломали...видимо Неуловимый Джо неуловим

     
     
  • 2.7, localhostadmin (ok), 09:51, 10/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Потому что раст никому не нужен. Пользовались бы им столько же, сколько и нодой. Тогда и взламывали его примерно с такой же частотой
     
     
  • 3.8, пох. (?), 10:06, 10/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    да может и нужен и поломали - но код-то прочитать никто кроме ЫЫ не может.
    Это тебе не нескучный js.

     
  • 3.9, Аноним (9), 10:14, 10/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Юные хакеры просто не смогли написать код, на который боров не жалуется.
     

  • 1.2, Аноним (2), 08:56, 10/09/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А зачем было ломать, утка сама собрана из зависимостей более чем полностью. И какое еще проведение платежей через криптовалюту, автор сам понял что написал? Это же СУБД.
     
     
  • 2.4, Diozan (ok), 09:28, 10/09/2025 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Взломанная СУБД - это уже не просто СУБД и не только СУБД....
     
  • 2.5, 1 (??), 09:29, 10/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Т.е. в зависимостях кода СУБД Не может быть вредоносных пакетов действующих во всем приложении ? Это же нода, - в названии S, это Security.
     
  • 2.6, Аноним (6), 09:44, 10/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Там для браузеров пакеты есть "DuckDB-Wasm is an in-process analytical SQL database for the browser".
     

  • 1.3, 63506 (?), 09:26, 10/09/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
    		• +1 +/
     
  • 1.10, Аноним (10), 10:31, 10/09/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Это может быть не фишинговая атака, а цепная реакция, вызванная ИИ-червём. После захвата контроля над растопакетами её будет уже не остановить: растопакеты без карго-дерьма просто не соберутся.

    На вашем бы месте побыл бы две недельки без обновлений, пока пыль не уляжется.

     
  • 1.11, Аноним (11), 11:29, 10/09/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А мне всегда интересно. Там ведь во вставке был фактически IP атакующего. Почему его так сложно вычислить по IP?
     
     
  • 2.12, Аноним (12), 11:52, 10/09/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Ну айпишник очередной ВЧ и что дальше?
     

