O PANews informou em 10 de setembro que o Twitter oficial do DuckDB publicou que os pacotes de software Node.js e Wasm do DuckDB foram implantados com malware no recente ataque à cadeia de suprimentos do npm. As autoridades investigaram e depreciaram as versões afetadas, enquanto lançavam novas versões. O DuckDB disse que, de acordo com dados do npm, nenhum usuário baixou os pacotes afetados. A equipe emitiu um aviso de segurança detalhando a análise post mortem e as medidas de resposta.