Společnost PANews 10. září oznámila, že oficiální Twitter společnosti DuckDB zveřejnil, že softwarové balíčky DuckDB Node.js a Wasm byly při nedávném útoku na dodavatelský řetězec npm implantovány malwarem. Úředníci prošetřili a zastarali dotčené verze, zatímco vydávali nové verze. DuckDB uvedla, že podle údajů npm si žádní uživatelé nestáhli postižené balíčky. Tým vydal bezpečnostní doporučení, které podrobně popisuje postmortální analýzu a opatření k reakci.