PANews đưa tin vào ngày 10 tháng 9 rằng Twitter chính thức của DuckDB đã đăng rằng các gói phần mềm Node.js và Wasm của DuckDB đã được cấy phần mềm độc hại trong cuộc tấn công chuỗi cung ứng npm gần đây. Các quan chức đã điều tra và ngừng sử dụng các phiên bản bị ảnh hưởng, đồng thời phát hành các phiên bản mới. DuckDB cho biết theo dữ liệu npm, không có người dùng nào tải xuống các gói bị ảnh hưởng. Nhóm nghiên cứu đã ban hành một lời khuyên an toàn chi tiết về các biện pháp phân tích và ứng phó sau khi khám nghiệm tử thi.