10. september rapporterte PANews at DuckDBs offisielle Twitter la ut at DuckDBs Node.js- og Wasm-programvarepakker ble implantert med skadelig programvare i det nylige npm-forsyningskjedeangrepet. Tjenestemenn har undersøkt og avviklet de berørte versjonene, mens de har gitt ut nye versjoner. DuckDB sa at ifølge npm-data har ingen brukere lastet ned de berørte pakkene. Teamet har utstedt et sikkerhetsråd som beskriver obduksjonsanalysen og responstiltakene.