10 сентября PANews сообщил, что официальный Twitter DuckDB опубликовал сообщение о том, что программные пакеты DuckDB Node.js и Wasm были заражены вредоносным ПО в ходе недавней атаки на цепочку поставок npm. Официальные лица провели расследование и объявили устаревшими затронутые версии, выпустив при этом новые версии. DuckDB заявила, что, согласно данным npm, ни один пользователь не скачал затронутые пакеты. Команда выпустила рекомендации по безопасности с подробным описанием анализа вскрытия и мер реагирования.