Tedarik zinciri saldırısıyla duckdb npm paketine kötü amaçlı yazılım eklendi

 (github.com/duckdb)
1 puan yazan yeorinhieut 2025-09-09 | 1 yorum | WhatsApp'ta paylaş

DuckDB npm tedarik zinciri saldırısının özeti

  • Saldırının hedefi:

    • @duckdb/node-api@1.3.3
    • @duckdb/node-bindings@1.3.3
    • duckdb@1.3.3
    • @duckdb/duckdb-wasm@1.29.2

  • Saldırı yöntemi:

    • DuckDB bakım sorumlusu, npmjs.help adlı phishing alan adına kanarak giriş yaptı ve 2FA ayarlarını sıfırladı. Bu süreçte kötü niyetli bir API tokenı oluşturuldu ve zararlı paket sürümleri yayımlandı.

  • Etki ve yanıt:

    • Sorun ortaya çıktıktan hemen sonra ilgili sürümler npm üzerinde deprecated olarak işaretlendi.
    • Güvenli yeni sürümler (1.3.4, 1.30.0) acil olarak yayımlandı.

İlgili okumalar

1 yorum

 
cocofather 2025-09-09

Eyvah, insan tedirgin oluyor.