【漏洞通报】DuckDB NPM包供应链投毒事件

漏洞情况

近期，火山信安实验室监测发现，，DuckDB的Node.js和Wasm软件包在NPM供应链攻击中被植入恶意软件，攻击者通过劫持开发者账户发布恶意版本，利用供应链投毒手段在包中嵌入加密货币窃取后门。此次事件被追踪为CVE-2025-59037，属于高危供应链安全漏洞。

0x01漏洞利用方式

攻击者通过精心策划的钓鱼邮件诱导开发者点击恶意链接，成功窃取其NPM账户控制权后，在受控账户下发布含恶意代码的DuckDB Node.js和Wasm包版本；当用户安装或运行这些受感染的包时，恶意代码会静默执行，通过劫持浏览器端的fetch/XMLHttpRequest和window.ethereum等核心API，扫描响应体中的加密货币地址并替换为攻击者控制的地址，同时针对已授权的以太坊钱包（如MetaMask）修改交易数据（例如将approve/transfer操作指向攻击者地址或放大交易额度），并进一步扩展攻击范围至Solana等主流区块链，实现全链覆盖的加密货币窃取行为。

0x02影响范围

• Node.js包：所有通过劫持账户发布的恶意版本（具体版本号未完全公开，但覆盖近期更新周期）
• Wasm包：与Node.js包同步受影响的版本
• 下载量：尽管DuckDB团队称“暂无用户下载受影响包”，但恶意包在NPM官方仓库存在期间存在潜在传播风险

0x03修复方案

1. 升级到安全版本
2. 检查项目的package.json和package-lock.json文件，确认是否引用了受影响版本的DuckDB
3. 启用NPM账户的双因素认证（2FA），防止账户被劫持
4. 引入AI异常行为检测和交易地址白名单验证，提升对供应链攻击的实时响应能力

来源自：广州盈基信息官网