PANews ha riferito il 10 settembre che il Twitter ufficiale di DuckDB ha pubblicato che i pacchetti software Node.js e Wasm di DuckDB sono stati impiantati con malware nel recente attacco alla catena di approvvigionamento npm. I funzionari hanno indagato e deprecato le versioni interessate, rilasciando nuove versioni. DuckDB ha affermato che, secondo i dati di npm, nessun utente ha scaricato i pacchetti interessati. Il team ha emesso un avviso di sicurezza che descrive in dettaglio l'analisi post-mortem e le misure di risposta.