pnpm 10.25 improves certificate handling, adds a bare pnpm init, and ships several quality-of-life fixes.

We got lucky with Shai-Hulud 2.0.

In November 2025, a self-replicating npm worm compromised 796 packages with 132 million monthly downloads. The attack used preinstall scripts to steal credentials, install persistent backdoors, and in some cases wipe entire developer environments. We weren't affected—not because we had robust defenses, but because we didn't run npm install or npm update during the attack window.

Luck isn't a security strategy.

pnpm now scales network concurrency automatically on high-core machines and ships several reliability fixes.

Added --lockfile-only option to pnpm list and various improvements to pnpm self-update.

Added support for excluding packages from trust policy and overriding the engines field on publish.

Added support for Node.js runtime installation for dependencies and a setting for configuring trust policy.

This release adds a --all flag for the pnpm help command to print all commands.

У цій версії додано елементи керування в межах версії до двох налаштувань: [onlyBuiltDependencies] та [minimumReleaseAgeExclude].

Незначні зміни​

Додано моніторинг продуктивності мережі до pnpm шляхом реалізації попереджень про повільні мережеві запити, включаючи як отримання метаданих, так і завантаження tar-архівів.

Додано параметри конфігурації для порогових значень попередження: fetchWarnTimeoutMs та fetchMinSpeedKiBps. Попереджувальні повідомлення показуються, коли запити перевищують часові обмеження або не досягають мінімальної швидкості

Див. PR: #10025.

Зміни в патчах​

• Повторно виконати операції файлової системи при помилці EAGAIN #9959.
• Застаріла команда враховує конфігурацію minimumReleaseAge #10030.
• Правильно застосуйте конфігурацію cleanupUnusedCatalogs під час видалення залежних пакетів.
• Уникайте беззмістовної помилки, якщо для scriptShell встановлено значення false #8748.
• pnpm dlx не повинен завершуватися помилкою, якщо встановлено minimumReleaseAge #10037.

Незначні зміни​

Налаштування minimumReleaseAgeExclude тепер підтримує шаблони.