# 공급망 공격으로 duckdb npm 패키지에 멀웨어 삽입됨

> Clean Markdown view of GeekNews topic #22990. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=22990](https://news.hada.io/topic?id=22990)
- GeekNews Markdown: [https://news.hada.io/topic/22990.md](https://news.hada.io/topic/22990.md)
- Type: news
- Author: [yeorinhieut](https://news.hada.io/@yeorinhieut)
- Published: 2025-09-09T21:53:53+09:00
- Updated: 2025-09-09T21:53:53+09:00
- Original source: [github.com/duckdb](https://github.com/duckdb/duckdb-node/security/advisories/GHSA-w62p-hx95-gf2c)
- Points: 1
- Comments: 1

## Topic Body

#### DuckDB npm 공급망 공격 요약  
  
- **공격 대상**:  
  - `@duckdb/node-api@1.3.3`  
  - `@duckdb/node-bindings@1.3.3`  
  - `duckdb@1.3.3`  
  - `@duckdb/duckdb-wasm@1.29.2`  
  
  
- **공격 방식**:  
  - DuckDB 유지보수자가 `npmjs.help`라는 피싱 도메인에 속아 로그인하고 2FA 설정을 리셋. 그 과정에서 악의적인 API 토큰이 생성되어 악성 패키지 버전이 게시됨.  
  
- **영향 및 대응**:  
  - 문제 발생 후 즉시 해당 버전들을 npm에서 deprecated 처리.  
  - 안전한 새 버전 (`1.3.4`, `1.30.0`)을 긴급히 릴리스.

## Comments



### Comment 43561

- Author: cocofather
- Created: 2025-09-09T23:00:16+09:00
- Points: 1

아이고 불안해지네요