PANews meldde op 10 september dat de officiële Twitter van DuckDB plaatste dat de Node.js- en Wasm-softwarepakketten van DuckDB waren geïmplanteerd met malware tijdens de recente npm-aanval op de toeleveringsketen. Ambtenaren hebben de getroffen versies onderzocht en afgeschaft, terwijl ze nieuwe versies hebben vrijgegeven. DuckDB zei dat volgens npm-gegevens geen enkele gebruiker de getroffen pakketten heeft gedownload. Het team heeft een veiligheidsadvies uitgebracht waarin de post-mortem analyse en responsmaatregelen worden beschreven.