Un peligroso malware infostealer llamado LofyStealer está atacando activamente a jugadores de Minecraft al hacerse pasar por una herramienta de trampas para el juego llamada “Slinky.” El malware ejecuta un ataque en dos etapas que roba silenciosamente datos sensibles de navegadores web populares mientras permanece oculto para la mayoría del software de seguridad estándar instalado en la máquina de la víctima. La campaña destaca por ser notablemente más sofisticada.

La comunidad de ciberseguridad está en máxima alerta tras la divulgación de una vulnerabilidad crítica en Axios, un cliente HTTP basado en promesas ampliamente utilizado para Node.js y navegadores. El investigador de seguridad Jason Saayman reveló recientemente una falla sin restricciones que permite la exfiltración de metadatos en la nube. Esta peligrosa vulnerabilidad permite a los atacantes ejecutar código remoto o comprometer por completo la infraestructura en la nub

Una campaña de ingeniería social altamente coordinada está atacando activamente a los principales desarrolladores de código abierto en el ecosistema de Node.js y npm. Tras el reciente compromiso del popular paquete Axios, que registra más de 100 millones de descargas semanales, varios mantenedores de software de alto impacto han reportado ataques similares.

Se ha descubierto una fallo de seguridad de alta gravedad en Axios, una de las bibliotecas de cliente HTTP más populares en el ecosistema JavaScript. La vulnerabilidad, identificada como CVE-2026-25639, permite a atacantes remotos provocar una condición de Denegación de Servicio (DoS), bloqueando efectivamente servidores Node.js con una sola solicitud maliciosa. 

Una nueva cepa de malware sofisticado, denominada «LTX Stealer», ha surgido en el panorama de amenazas cibernéticas, utilizando una arquitectura única basada en Node.js para comprometer sistemas Windows. Detectado por primera vez a principios de 2026, esta herramienta maliciosa está diseñada para robar información sensible de los usuarios, incluyendo credenciales de inicio de sesión, cookies de navegadores y datos de carteras de criptomonedas.

Vulnerabilidad crítica en vm2 (CVE-2026-22709 con puntuación CVSS 9.8) permite a atacantes escapar del sandbox y ejecutar código arbitrario en el host al explotar un fallo en la gestión de promesas globales en versiones ≤3.10.0. Afecta a millones de aplicaciones Node.js con 3.7M descargas mensuales. Se recomienda actualizar urgentemente a vm2 3.10.2+ para mitigar el riesgo.

Node.js lanzó actualizaciones críticas de seguridad en todas sus líneas de lanzamiento activas el 13 de enero de 2026, parcheando vulnerabilidades que podrían provocar fugas de memoria, ataques de denegación de servicio y omisiones de permisos. Estas versiones corrigen tres fallos de alta gravedad, entre otros, instando a actualizaciones inmediatas en los sistemas afectados. Vulnerabilidades de alta gravedad.

Una vulnerabilidad crítica en una popular librería de Node.js expone los sistemas Windows a ataques de ejecución remota de código. Se ha descubierto una grave falla de seguridad en systeminformation, una popular librería de Node.js utilizada por miles de desarrolladores. La vulnerabilidad, etiquetada como CVE-2025-68154, permite a los atacantes ejecutar código malicioso en computadoras con Windows. Todas las versiones hasta la 5.27.13 son afectadas y los desarrolladores deben actualizar a la versión 5.27.14 inmediatamente. systeminformation es un paquete de Node.js ampliamente utilizado que ayuda