История с компрометацией 18 NPM-пакетов, в сумме насчитывающих более 2 миллиардов загрузок в неделю, получила продолжение. Выявлен аналогичный захват через фишинг учётных данных сопровождающего NPM-пакеты проекта DuckDB. Для пакетов DuckDB также были сформированы версии с вредоносным кодом, осуществляющим подстановку реквизитов при проведении платежей через криптовалюты, но атака была сразу выявлена и зафиксированы лишь единичные загрузки вредоносных пакетов. При этом по предварительным данным пакеты с вредоносной вставкой, опубликованные в ходе вчера анонсированной атаки на 18 NPM-пакетов, успели загрузить более 2.5 миллионов раз.

Пакеты, скомпрометированные во второй фишинговой атаке:

Пакет	Пиковое число загрузок в неделю	Число зависимостей	Версия с вредоносным кодом
duckdb	242 тысячи	61	1.3.3
@duckdb/duckdb-wasm	170 тысяч	43	1.3.3
@duckdb/node-api	81 тысяча	33	6.2.2
@duckdb/node-bindings	82 тысячи	1	1.29.2
@coveops/abi	551	0	2.0.1

Источник: http://www.opennet.ru/opennews/art.shtml?num=63854