PANews raportoi 10. syyskuuta, että DuckDB:n virallinen Twitter julkaisi, että DuckDB:n Node.js- ja Wasm-ohjelmistopaketteihin istutettiin haittaohjelmia äskettäisessä npm-toimitusketjuhyökkäyksessä. Viranomaiset ovat tutkineet ja poistaneet kyseiset versiot ja julkaisseet uusia versioita. DuckDB sanoi, että npm-tietojen mukaan yksikään käyttäjä ei ole ladannut kyseisiä paketteja. Ryhmä on julkaissut turvallisuustiedotteen, jossa kerrotaan yksityiskohtaisesti post mortem -analyysistä ja reagointitoimenpiteistä.