La distribution DuckDB pour Node.js sur npm a été compromise par un logiciel malveillant, avec de nouvelles versions de quatre des paquets duckdb qui contenaient du code malveillantLa distribution DuckDB pour Node.js sur npm a été compromise par un logiciel malveillant, avec de nouvelles versions de quatre des paquets duckdb qui contenaient du code malveillant destiné à interférer avec les transactions cryptographiques. La version actuelle de DuckDB est la 1.3.2, la version 1.4.0 devant être publiée le 10 septembre 2025. Les développeurs de DuckDB ne prévoient pas de publier une version « légitime » de DuckDB 1.3.3. Les utilisateurs doivent vérifier qu'ils ne mettent pas accidentellement à jour leur version vers l'une des versions concernées.
DuckDB est un système de gestion de base de données relationnelle (SGBDR) open source orienté colonnes. Il est conçu pour offrir des performances élevées sur des requêtes complexes dans des bases de données volumineuses en configuration embarquée, telles que la combinaison de tables comportant des centaines de colonnes et des milliards de lignes. Contrairement à d'autres bases de données intégrées (par exemple, SQLite), DuckDB ne se concentre pas sur les applications transactionnelles (OLTP), mais est plutôt spécialisé dans les charges de travail de traitement analytique en ligne (OLAP). Le projet compte plus de 6 millions de téléchargements par mois.
Récemment, un rapport a révélé que plus de 2 milliards de téléchargements hebdomadaires de 18 paquets npm compromis, notamment chalk, debug et strip-ansi, mettent en danger l'écosystème JavaScript. Le logiciel malveillant fonctionne comme un crypto clipper, échangeant les adresses de portefeuille pendant les transactions afin de rediriger les fonds vers les portefeuilles des attaquants. L'attaque a commencé lorsque le développeur « qix » a été victime d'un e-mail de phishing se faisant passer pour le support NPM, permettant aux pirates d'injecter du code malveillant. Les principaux protocoles tels que Uniswap, Jupiter et MetaMask ont assuré aux utilisateurs que leurs plateformes restaient sécurisées.
Dans ce contexte, un nouveau rapport a révélé que la distribution DuckDB pour Node.js sur npm a été compromise par un logiciel malveillant (ainsi que plusieurs autres paquets). Un pirate a publié de nouvelles versions de quatre paquets duckdb contenant du code malveillant destiné à interférer avec les transactions cryptographiques.
Les paquets et versions suivants sont concernés :
- @duckdb/node-api@1.3.3
- @duckdb/node-bindings@1.3.3
- duckdb@1.3.3
- @duckdb/duckdb-wasm@1.29.2
La version actuelle de DuckDB est la 1.3.2, la version 1.4.0 devant être publiée le 10 septembre 2025. Les développeurs de DuckDB ne prévoient pas de publier une version « légitime » de DuckDB 1.3.3. Les utilisateurs doivent vérifier qu'ils ne mettent pas accidentellement à jour leur version vers l'une des versions concernées.
Ils ont remarqué le problème dans les quatre heures qui ont suivi son apparition. En guise de réponse immédiate, ils ont déprécié les versions spécifiques et contacté le support npm pour supprimer les versions concernées. Les responsables de DuckDB ont également réédité les paquets node avec des numéros de version plus élevés (1.3.4/1.30.0) comme mesure de sécurité supplémentaire afin que la dernière version du paquet pointe vers une version sûre. L'équipe DuckDB a déclaré : "Nous vous prions de nous excuser pour ce problème. Nous revoyons actuellement nos processus internes afin de garantir la sécurité des prochaines versions."
Voici le rapport de l'incident :
Le lundi 8 septembre, les responsables de DuckDB ont reçu le message suivant de « ...@npmjs.help » :
L'un des responsables a lu ce texte et l'a trouvé assez raisonnable. Il a suivi le lien (aujourd'hui obsolète) vers un site web hébergé sous le domaine npmjs.help. Ce site web contenait une copie parfaite du site web npmjs.com. Il s'est connecté en utilisant l'utilisateur et le mot de passe duckdb_admin, puis a suivi la procédure 2FA. Là encore, le profil utilisateur, les paramètres, etc. étaient une copie parfaite du site web npmjs.com, y compris toutes les données utilisateur. Comme demandé dans l'e-mail, il a ensuite réinitialisé la configuration 2FA.
En arrière-plan, le site web copié transférait toutes les actions vers le site web npm réel, de sorte que la 2FA a également été mise à jour à cet endroit. Mais ils ont également ajouté un nouveau jeton API, qu'ils ont ensuite utilisé pour publier les versions malveillantes du paquet. Avec le recul, le fait que son navigateur n'ait pas complété automatiquement la connexion aurait dû être un signal d'alarme. C'est douloureux à avouer, mais nous sommes tombés dans le piège d'une attaque de phishing classique.
Nous vous présentons à nouveau nos excuses pour cet incident. Nous sommes en train de revoir nos processus internes afin de garantir la sécurité des futures versions. Heureusement, nous nous en sommes aperçus quelques heures après les faits. L'équipe DuckDBLabs a pu organiser une conférence téléphonique à 7 heures du matin afin de réagir immédiatement. Heureusement, nous n'avons pas été bloqués hors de notre compte NPM, ce qui aurait facilement pu arriver. Nous avons pu changer immédiatement les mots de passe, les jetons et les clés API.
Et vous ?
Pensez-vous que ce rapport est crédible ou pertinent ? Quel est votre avis sur le sujet ?Voir aussi :
Invasion silencieuse : des centaines de bibliothèques malveillantes publiées sur NPM tentent d'installer des malwares sur les machines des développeurs pour infiltrer les entreprises DuckDB, le SGBD utilisé par Google, Facebook et Airbnb, arrive en version 0.5.0. Elle apporte l'optimisation de l'ordre de jointure 86 % des employés pensent pouvoir identifier avec certitude les courriels de phishing, mais près de la moitié d'entre eux sont tombés dans le piège
Vous avez lu gratuitement 1 674 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.