关键信息 漏洞概述 漏洞类型: DuckDB NPM 包被恶意软件感染 受影响版本: - : 1.29.2 - : 1.3.3 - : 1.3.3 - : 1.3.3 修复版本: - : 1.30.0 - : 1.3.4-alpha.27 - : 1.3.4-alpha.27 - : 1.3.4 描述 事件详情: DuckDB 的 Node.js 分发包在 npm 上被恶意软件感染,攻击者发布了四个 DuckDB 包的新版本,包含干扰加密货币交易的恶意代码。 受影响包和版本: - 1.3.3 - 1.3.3 - 1.3.3 - 1.29.2 响应措施: - 立即废弃受影响版本 - 联系 npm 支持删除受影响版本 - 重新发布更高版本号的节点包作为进一步的安全保障 后续处理 事件时间线: 2025 年 9 月 8 日收到更新 2FA 凭据的请求,随后发现并处理了恶意软件感染事件。 钓鱼攻击: 维护人员通过邮件中的链接访问了一个像素级复制的 npmjs.com 网站,导致 API token 泄露,用于发布恶意包版本。 安全建议 用户应检查是否意外使用了受影响版本,并升级到安全版本。 审查内部流程以确保未来发布的安全性。