공급망 공격으로 duckdb npm 패키지에 멀웨어 삽입됨

 (github.com/duckdb)
1P by yeorinhieut 13시간전 | ★ favorite | 댓글 1개

DuckDB npm 공급망 공격 요약

  • 공격 대상:

    • @duckdb/node-api@1.3.3
    • @duckdb/node-bindings@1.3.3
    • duckdb@1.3.3
    • @duckdb/duckdb-wasm@1.29.2

  • 공격 방식:

    • DuckDB 유지보수자가 npmjs.help라는 피싱 도메인에 속아 로그인하고 2FA 설정을 리셋. 그 과정에서 악의적인 API 토큰이 생성되어 악성 패키지 버전이 게시됨.

  • 영향 및 대응:

    • 문제 발생 후 즉시 해당 버전들을 npm에서 deprecated 처리.
    • 안전한 새 버전 (1.3.4, 1.30.0)을 긴급히 릴리스.
cocofather 12시간전  [-]

아이고 불안해지네요

답변달기