Im September 2025 widerfuhr dem npm-Ökosystem eine der bislang folgenschwersten Kompromittierungen der Software-Lieferkette. Ein sich selbst verbreitender Wurm, der heute allgemein als Shai-Hulud bezeichnet wird, kompromittierte Hunderte von npm-Paketen, sammelte Entwickler- und CI/CD-Anmeldedaten und nutzte diese Anmeldedaten, um sich im Ökosystem zu verbreiten, indem er unter der Identität legitimer Nutzer weitere bösartige Updates veröffentlichte. Innerhalb weniger Wochen folgte eine zweite