Un atacante manipuló archivos JavaScript de los plugins PushEngage, OptinMonster y TrustPulse para tomar el control de sitios de WordPress. Al detectar a un administrador conectado, el código creaba una cuenta de admin maliciosa e instalaba un plugin oculto para ejecutar comandos remotamente. Se recomienda a los usuarios realizar un escaneo directo del servidor y revisar el sistema de archivos para eliminar cuentas y carpetas sospechosas.

FROST es un ataque basado en JavaScript que permite a sitios web maliciosos rastrear aplicaciones y sitios visitados mediante la sincronización de la SSD y el uso del Origin Private File System (OPFS), sin requerir permisos ni código nativo.

Un ataque masivo a la cadena de suministro ha afectado el ecosistema npm, comprometiendo cientos de paquetes de JavaScript vinculados a la librería de visualización de datos @antv. El incidente, ocurrido el 19 de mayo de 2026, consistió en la inyección de código malicioso en paquetes utilizados por millones de desarrolladores, incluyendo el popular echarts-for-react.

Se ha detectado una sofisticada campaña de malware a nivel global diseñada para robar criptomonedas. Los atacantes utilizan un cargador multietapa denominado CountLoader, el cual combina JavaScript, PowerShell y shellcode para desplegar un payload capaz de interceptar y redirigir las transacciones de los usuarios.

Se ha detectado un nuevo clon del malware Shai-Hulud en el paquete npm chalk-tempalte, además de otros tres paquetes maliciosos que roban credenciales, claves SSH y carteras de criptomonedas. Estas herramientas, creadas por un mismo usuario, pueden convertir los equipos infectados en botnets para ataques DDoS. Se recomienda desinstalar estos paquetes inmediatamente y rotar todas las claves de seguridad afectadas.

Adobe lanzó una actualización de seguridad de emergencia para corregir la vulnerabilidad CVE-2026-34621 en Acrobat Reader, un fallo de contaminación de prototipos explotado activamente que permite la ejecución de código arbitrario mediante archivos PDF maliciosos.

La librería Axios (con 80 millones de descargas semanales) ha sido hackeada al inyectar malware en versiones recientes, afectando a millones de proyectos JavaScript.

Un sofisticado ataque a la cadena de suministro ha afectado a Axios, uno de los clientes HTTP más utilizados en el ecosistema JavaScript, al introducir una dependencia transitiva maliciosa en el registro oficial de npm. Como componente crítico en frameworks frontend, microservicios backend y aplicaciones empresariales, Axios registra aproximadamente 83 millones de descargas semanales en npm.

Recientemente se descubrió una vulnerabilidad crítica de Universal Cross-Site Scripting (UXSS) en el navegador Android de DuckDuckGo. Este fallo permitía que iframes no confiables de origen cruzado ejecutaran JavaScript arbitrario en el origen de nivel superior, con una puntuación CVSS de gravedad alta de 8.6. La vulnerabilidad fue detallada originalmente en una publicación de Medium por el investigador de seguridad Dhiraj Mishra.

Un actor de amenazas conocido como GrayCharlie ha estado comprometiendo sitios web de WordPress desde mediados de 2023, insertando silenciosamente JavaScript malicioso para distribuir malware a los usuarios que los visitan. El grupo tiene coincidencias con el clúster previamente rastreado como SmartApeSG, también llamado ZPHP o HANEMONEY. 

El proyecto ZAP (Zed Attack Proxy), un escáner de seguridad de aplicaciones web de código abierto ampliamente utilizado, ha revelado una fuga crítica de memoria en su motor JavaScript. Este fallo, probablemente presente desde hace algún tiempo, ahora interrumpe los flujos de trabajo de escaneo activo tras la introducción de una nueva regla de escaneo JavaScript en el complemento OpenAPI.