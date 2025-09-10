Le lundi 8 septembre, les responsables de DuckDB ont reçu le message suivant de « ...@npmjs.help » :L'un des responsables a lu ce texte et l'a trouvé assez raisonnable. Il a suivi le lien (aujourd'hui obsolète) vers un site web hébergé sous le domaine npmjs.help. Ce site web contenait une copie parfaite du site web npmjs.com. Il s'est connecté en utilisant l'utilisateur et le mot de passe duckdb_admin, puis a suivi la procédure 2FA. Là encore, le profil utilisateur, les paramètres, etc. étaient une copie parfaite du site web npmjs.com, y compris toutes les données utilisateur. Comme demandé dans l'e-mail, il a ensuite réinitialisé la configuration 2FA.En arrière-plan, le site web copié transférait toutes les actions vers le site web npm réel, de sorte que la 2FA a également été mise à jour à cet endroit. Mais ils ont également ajouté un nouveau jeton API, qu'ils ont ensuite utilisé pour publier les versions malveillantes du paquet. Avec le recul, le fait que son navigateur n'ait pas complété automatiquement la connexion aurait dû être un signal d'alarme. C'est douloureux à avouer, mais nous sommes tombés dans le piège d'une attaque de phishing classique.Nous vous présentons à nouveau nos excuses pour cet incident. Nous sommes en train de revoir nos processus internes afin de garantir la sécurité des futures versions. Heureusement, nous nous en sommes aperçus quelques heures après les faits. L'équipe DuckDBLabs a pu organiser une conférence téléphonique à 7 heures du matin afin de réagir immédiatement. Heureusement, nous n'avons pas été bloqués hors de notre compte NPM, ce qui aurait facilement pu arriver. Nous avons pu changer immédiatement les mots de passe, les jetons et les clés API.