CVE-2025-59037

Nome do Software Vulnerável e Versões Afetadas: DuckDB versões 1.3.3 @duckdb/node-api versão 1.3.3 @duckdb/node-bindings versão 1.3.3 @duckdb/duckdb-wasm versão 1.29.2

Descrição: Pacotes do DuckDB distribuídos para Node.js no npm foram comprometidos com malware destinado a interferir em transações de criptomoedas. Um atacante publicou versões maliciosas de vários pacotes do DuckDB. O ataque envolveu uma campanha de phishing direcionada a administradores do DuckDB, levando ao comprometimento das credenciais do npm e à publicação de pacotes maliciosos. O atacante criou uma réplica convincente do site do npm para roubar credenciais.

Recomendações: Atualize @duckdb/node-api para a versão 1.3.4 ou superior. Atualize @duckdb/node-bindings para a versão 1.3.4 ou superior. Atualize duckdb para a versão 1.3.4 ou superior. Atualize @duckdb/duckdb-wasm para a versão 1.30.0 ou superior. Como medida temporária, faça downgrade do @duckdb/node-api para a versão 1.3.2. Como medida temporária, faça downgrade do @duckdb/node-bindings para a versão 1.3.2. Como medida temporária, faça downgrade do duckdb para a versão 1.3.2. Como medida temporária, faça downgrade do @duckdb/duckdb-wasm para a versão 1.29.1.