The jscrambler npm package version 8.14.0 was compromised in a supply chain attack published on July 11, 2026. The malicious release added an undocumented preinstall hook that automatically executes hidden native binaries for Linux, macOS, and Windows during npm install — before any application code runs. The binaries are embedded in an obfuscated CSI container. While static analysis did not reveal obvious C2, credential theft, or cryptomining behavior, the attack exposes developer workstations, CI environments, and build pipelines to potential access of source code, environment variables, and deployment secrets. Socket detected the compromised version 6 minutes after publication. Users are advised to remove 8.14.0, rotate credentials, and pin to 8.13.0 until a clean release is available.
Nguồn: https://socket.dev/blog/jscrambler-supply-chain-attack. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.
Phương thức mới ariaNotify() trong đặc tả WAI-ARIA 1.3 cho phép lập trình viên kích hoạt tường thuật từ trình đọc màn hình bằng một chuỗi văn bản đơn giản, thay thế các giải pháp phức tạp trước đây như aria-live. Tuy tiện lợi nhưng việc lạm dụng nó có thể gây hại cho khả năng truy cập, tương tự như cách alert() thường bị sử dụng sai mục đích.
Lập trình viên nên đọc bài này để hiểu cách sử dụng ariaNotify() một cách chính xác và tránh những rủi ro về tính khả dụng, đặc biệt là khi nó có thể trở thành một công cụ dễ dàng nhưng dễ gây nhầm lẫn và làm giảm chất lượng trải nghiệm cho người dùng có nhu cầu hỗ trợ kỹ thuật.
Node.js 26.5.0 bổ sung các tính năng mới như blob.textStream() trên buffer API, cờ …
ECMA International vừa phê duyệt ECMAScript 2026 (ES2026) vào ngày 30/6, phiên bản thứ 17 …
Phiên bản 8.14.0 của gói npm jscrambler (phát hành 11/7/2026) chứa mã độc trong hook preinstall, tải xuống và thực thi file binary đa nền tảng (Linux/Windows/macOS) nhằm đánh cắp thông tin đăng nhập và ví tiền điện tử. Kích thước gói tăng đột biến từ 37,8 KB lên 7,9 MB do ẩn chứa 3 file thực thi nén gzip. Người dùng đã cài đặt phiên bản này cần coi máy bị xâm nhập, hạ xuống 8.13.0, đổi mật khẩu và kiểm tra tiện ích ví tiền.
Lập trình viên nên đọc bài này để cảnh giác về nguy cơ phishing npm và cách bảo vệ dự án của mình khỏi các gói npm bị lừa đảo, đặc biệt khi sử dụng các thư viện có kích thước bất thường hoặc thay đổi đột ngột trong phiên bản mới.
Trình biên dịch React (React Compiler) là một plugin Babel chạy lúc build, tự động tối ưu hóa component bằng cách memo hóa (memoization) mà không cần dùng thủ công useMemo, useCallback hay React.memo. Nó hỗ trợ React 17/18 qua polyfill, hoạt động với Vite/Next.js/Expo (từ SDK 54+), và có thể cải thiện tốc độ render lên 10–30% nhờ tái sử dụng JSX và bỏ qua re-render không cần thiết.
Lập trình viên nên đọc bài này để khám phá cách tự động tối ưu hóa lại các hàm memoize trong React bằng công cụ mới, giúp giảm thiểu tái render và cải thiện hiệu suất mà không cần viết thủ công useMemo hoặc useCallback.
Phiên bản Deno 2.9 bổ sung công cụ deno desktop để xây dựng ứng dụng desktop native từ công nghệ web, tạo ra các tệp thực thi duy nhất với backend webview hoặc CEF. Cải tiến đáng chú ý bao gồm hỗ trợ di chuyển từ lockfile npm/pnpm/yarn/Bun, snapshot testing, test theo tham số, tối ưu hiệu suất khởi động lạnh gấp đôi và giảm 3 lần bộ nhớ khi tải nặng.
Nếu bạn đang tìm cách xây dựng ứng dụng desktop hiệu quả từ công nghệ web, nâng cấp khả năng kiểm thử và an toàn trong dự án của mình, hoặc muốn tối ưu hóa hiệu suất và quản lý phụ thuộc, Deno 2.9 sẽ là công cụ quan trọng giúp bạn giải quyết những thách thức này một cách hiện đại và hiệu quả.
Khóa học miễn phí 2 giờ trên freeCodeCamp hướng dẫn toàn diện cách xử lý ngày giờ trong JavaScript, bao gồm epoch time, múi giờ, đối tượng Date (và nhược điểm như biến đổi dữ liệu, tháng zero-indexed), API INTL (dùng định dạng không cần thư viện bên thứ ba), Temporal API (thay thế hiện đại cho Date), cùng chiến lược tránh lỗi sản xuất do DST hay múi giờ.
Làm việc với các ngày tháng giờ trong JavaScript có thể gây ra nhiều lỗi không mong muốn, và bài này giúp bạn học cách xử lý chính xác, từ cơ sở đến các công cụ mới nhất như Temporal API để tránh những sai sót gây ra sự cố trong sản phẩm.

Thư viện Prop For That của Adam Argyle cung cấp các CSS custom properties động, cho phép truy cập vào những thuộc tính CSS thông thường không thể truy xuất như vị trí con trỏ, tốc độ cuộn, trạng thái form hay thời gian hiện tại. Nhà phát triển chỉ cần thêm thuộc tính data vào HTML, sau đó sử dụng trực tiếp các biến CSS này trong stylesheet mà không cần viết JavaScript.
Lập trình viên nên đọc bài này để khám phá cách Prop For That giúp tối ưu hóa giao diện người dùng bằng cách kết nối trực tiếp CSS với dữ liệu động từ HTML mà không cần JavaScript, mở rộng khả năng tùy biến UI một cách đơn giản và hiệu quả.