PANews berichtete am 10. September, dass der offizielle Twitter-Account von DuckDB gepostet hat, dass die Node.js- und Wasm-Softwarepakete von DuckDB bei dem jüngsten Angriff auf die npm-Lieferkette mit Malware implantiert wurden. Die Beamten haben die betroffenen Versionen untersucht und als veraltet eingestuft, während sie neue Versionen veröffentlicht haben. DuckDB sagte, dass laut npm-Daten keine Benutzer die betroffenen Pakete heruntergeladen haben. Das Team hat einen Sicherheitshinweis herausgegeben, in dem die Obduktionsanalyse und die Reaktionsmaßnahmen detailliert beschrieben werden.