10 вересня PANews повідомив, що офіційний Twitter DuckDB опублікував повідомлення про те, що пакети програмного забезпечення DuckDB Node.js і Wasm були імплантовані шкідливим програмним забезпеченням під час нещодавньої атаки на ланцюжок поставок npm. Офіційні особи розслідували та визнали застарілими відповідні версії, водночас випускаючи нові версії. DuckDB заявила, що згідно з даними npm, жоден користувач не завантажив постраждалі пакети. Команда випустила рекомендації з безпеки, в яких детально описані посмертний аналіз і заходи реагування.