如果您正在寻找恶意软件来研究并了解它是如何工作的，那么metasploit非常棒。该框架是开源的，因此您可以研究它是如何工作的。

您可以搜索metasploit 数据库。

当您说“JavaScript 恶意软件”时，我不确定您到底在寻找什么，但如果您的意思是可能危及查看站点CVE-2012-3993的用户的 JavaScript看起来很酷。

如果您正在寻找如果注入到站点可能会做讨厌的事情的 JavaScript，那么OWASP是一个很好的资源。

我也很喜欢 Troy Hunt 的Intentionally Vulnerable Site，它为您提供了一个很好的游乐场，您可以在其中破坏事物，并且他对不该做什么进行了很好的培训。

试试BeEF框架，它对各种 Web 浏览器特别有用，并且已经过测试方法。一旦主 javascript 文件加载到客户端浏览器中（通过跨站点或任何其他方式），攻击者就可以根据可用的浏览器特定漏洞完全控制客户端系统。