Peringatan keamanan: Akun NPM milik pengembang terkenal lainnya telah diretas dan disusupi malware pencuri dompet.

BlockBeats melaporkan pada 9 September, menurut pemantauan Socket, serangan rantai pasokan NPM yang berkelanjutan telah menyebar dari pengembang terkenal Qix ke pemelihara terkenal lainnya, di mana akun NPM duckdb_admin yang bertanggung jawab atas paket terkait DuckDB telah diretas dan beberapa versi berbahaya telah dipublikasikan. Kode yang disuntikkan sama dengan malware pencuri dompet yang digunakan saat akun Qix disusupi, yang sangat menunjukkan bahwa keduanya merupakan bagian dari aksi serangan yang sama.

Sebelumnya dilaporkan, CTO Ledger menyatakan bahwa telah terjadi serangan rantai pasokan besar-besaran, sehingga seluruh ekosistem JavaScript mungkin menghadapi risiko. Namun, penyerang NPM tidak berhasil dan hampir tidak ada korban.