O PANews informou em 10 de setembro que o Twitter oficial do DuckDB postou que os pacotes de software Node.js e Wasm do DuckDB foram implantados com malware no recente ataque à cadeia de suprimentos do npm. As autoridades investigaram e descontinuaram as versões afetadas, enquanto lançavam novas versões. O DuckDB disse que, de acordo com os dados do npm, nenhum usuário baixou os pacotes afetados. A equipe emitiu um aviso de segurança detalhando a análise post-mortem e as medidas de resposta.