PANews rapporterade den 10 september att DuckDB:s officiella Twitter postade att DuckDB:s Node.js- och Wasm-programvarupaket implanterades med skadlig kod i den senaste npm-attacken mot leveranskedjan. Tjänstemän har undersökt och fasat ut de berörda versionerna, samtidigt som nya versioner har släppts. DuckDB sa att enligt npm-data har inga användare laddat ner de drabbade paketen. Teamet har utfärdat en säkerhetsrekommendation som i detalj beskriver obduktionsanalysen och åtgärdsåtgärderna.