在 NPM 包维护者被钓鱼攻击导致数十个包被植入窃取加密货币的恶意代码之后，NPM 包再次遭遇供应链攻击，，这一次攻击者可能有点恶作剧。至少 187 个 NPM 包感染了以《沙丘》中沙虫命名的自我复制蠕虫 Shai-Hulu，它会窃取开发者的凭证，然后公开发布到 GitHub 上的 Shai-Hulud 库中。一旦开发者安装了感染了蠕虫的 NPM 包，恶意软件会搜寻 npm 令牌，一旦发现它会修改该 npm 令牌能访问的 20 个最流行的包，植入该蠕虫，发布新版本。安全公司 CrowdStrike 有至少 25 个 NPM 包感染了该蠕虫，该公司表示这些软件包没有被 Falcon 使用，因此 Falcon 不受影响。安全研究人员发现，攻击者有意放过了 Windows 平台，假设开发者在 Linux 或 macOS 环境中工作。

苹果为 10 年前的 iPhone 6 释出安全更新 iOS 15.8.5 和 iPadOS 15.8.5，修复了一个正被利用的安全漏洞。编号为 CVE-2025-43300 的漏洞是一个越界写入 bug 导致的，可能导致在处理恶意图像文件时内存损坏(memory corruption)。苹果称它收到了漏洞利用的报告。最新补丁适用于 iPhone 6s（所有型号）、iPhone 7（所有型号）、iPhone SE（第一代）、iPad Air 2、iPad mini（第四代）和 iPod touch（第七代）。