Die Shai-Hulud Kampagne zählt inzwischen zu den gravierendsten Angriffen, die das JavaScript Umfeld je erlebt hat. Als die erste Welle Anfang 2025 öffentlich wurde, zeigten Analysen des Sicherheitsunternehmens JFrog, dass sich ein selbstreplizierender Wurm über Hunderte npm Pakete verbreitet hatte.