Lucide Proxy перетворював браузери учнів на DDoS-ботнет

Lucide Proxy використав 148 npm-пакетів, щоб перетворювати вкладки браузера на DDoS-вузли. Перевірте історію, service workers, дані сайтів, домени й lockfiles.

Вкладки Lucide Proxy атакують сервер, перетворюючи проксі на ботнет

Кампанія Lucide Proxy використала 148 npm-пакетів для розміщення учнівських вебпроксі, які могли перетворювати вкладки відвідувачів на вузли DDoS-ботнету. JFrog Security Research з’ясувала, що це не була звичайна інфекція під час встановлення: приховані модулі генерували трафік, коли людина відкривала проксі-вебзастосунок. Перша хвиля пакетів почалася 27 травня 2026 року, а друга з’явилася 8 липня [1].

Тому головне питання — не лише «Чи встановлював я один із цих npm-пакетів?», а й «Чи відкривав я сторінку Lucide, Riverbend Tutoring або Northstar Tutoring?». Відвідувач міг створювати атакувальний трафік без імпорту залежності чи запуску виконуваного файла.

Архівна сторінка Lucide Proxy у браузері з пошуком і ярликами категорій
Архівна сторінка Lucide Proxy від 18 травня 2026 року, коли в ній були приховані модулі генерації трафіку. Джерело: JFrog Security Research.

Кому потрібно перевірити ризик Lucide Proxy?

СитуаціяРизик і перша перевірка
Ви відвідували проксі на основі LucideБраузер міг завантажити генератор трафіку, віддалені скрипти, рекламу та service worker. Закрийте сторінку й очистьте збережені дані сайту.
Ви керуєте мережею школи або компаніїШукайте домени кампанії, незвичні сплески WebSocket у браузерах і тривалий вихідний upload-трафік.
Ви завантажили один зі 148 npm-пакетівВидаліть його з manifests і lockfiles. Саме встановлення не запускало описаний DDoS-шлях, але пакет не повинен залишатися у build або hosted app.
Ви лише прочитали про кампаніюДій не потрібно, якщо у вашій історії немає переліченого пакета, proxy hostname, відвідування сторінки, розширення або завантаження.

Як проксі перетворював браузер на DDoS-бота

Проксі працював і дозволяв учням відкривати заблоковані сайти чи ігри. За інтерфейсом ховався обфускований JavaScript bundle: ще до рендерингу React-сторінки запускалися два модулі. Перший завантажував змінний JavaScript із GitHub-гілки через jsDelivr без фіксованого commit і перевірки цілісності. Віддалений код отримував права origin проксі-сторінки, включно з доступом до cookies і local storage цього origin [1].

JFrog відновила payload від 30 травня, який кожні 500 мілісекунд надсилав новий міждоменний запит розміром один мегабайт. Це приблизно 2 МБ вихідного трафіку за секунду з кожної активної вкладки. Другий модуль відкривав WebSocket-з’єднання з Wisp-проксі та швидко створював і закривав потоки, виснажуючи сокети й журнали сервера. Ціллю був віддалений проксі-сервер, а не localhost на комп’ютері відвідувача.

Липневі пакети відрізнялися від травневої атаки

Активні remote loader і Wisp generator були у збірці від середини травня до 31 травня. За даними JFrog, хвиля пакетів від 8 липня містила пізнішу adware-only збірку. Однак застосунок залишався обфускованим, продовжував завантажувати сторонні скрипти та посилався на змінну віддалену інфраструктуру, тому адміністраторам не слід вважати новіші пакети безпечними [1].

Раніше SafeDep вже описала 141 пакет як proxy-adware та зловживання npm registry. Подальша деобфускація й аналіз архівів JFrog виявили приховану DDoS-можливість і розширили список до 148 пакетів [2].

Що робити, якщо ви відкривали Lucide Proxy

  1. Закрийте всі пов’язані вкладки. Зупиніть проксі-сторінку до очищення, щоб вона не продовжувала генерувати трафік.
  2. Перевірте історію браузера. Шукайте Lucide, Riverbend Tutoring, Northstar Tutoring, незнайомі освітні proxy hostnames і домени з повного звіту JFrog.
  3. Видаліть дані сайту. Очистьте cookies, local storage, кешовані файли та дозволи підозрілих proxy domains. У Chrome або Chromium відкрийте chrome://serviceworker-internals/ і скасуйте реєстрацію service workers, пов’язаних із цими доменами.
  4. Перезапустіть браузер і стежте за мережею. Якщо upload-трафік не зникає після закриття вкладок, перевірте інші сторінки, розширення, proxy settings і встановлені програми.
  5. Видаліть несподівані розширення або файли. Описаний DDoS-шлях працював у браузері, але агресивна реклама могла вести до додаткових інсталяцій. Якщо ви встановили розширення або запустили файл, видаліть його та виконайте повне сканування Gridinsoft Anti-Malware. Саме відвідування сторінки не доводить наявність стійкої Windows-інфекції.

Розробникам варто порівняти цю модель із компрометацією під час встановлення в матеріалі про Jscrambler npm. Ризик шкідливого коду в браузері також пояснює попередження про шкідливі розширення Edge, а власникам мереж стане в пригоді контекст про ботнет із 17 млн пристроїв.

Що робити мережевим і development-командам

  • Заблокуйте домени та IP з актуального списку JFrog на рівні DNS, secure web gateway і proxy.
  • Шукайте в browser і firewall logs домени кампанії, великі повторні міждоменні uploads та незвичну активність Wisp/WebSocket.
  • Видаліть перелічені пакети з dependency manifests, lockfiles, внутрішніх mirrors і hosted builds, а потім перебудуйте середовище з довірених джерел.
  • Не покладайтеся лише на install-time scanner: шкідливий код мав виконуватися у браузері відвідувача після розміщення застосунку.

Джерела

  1. Shavit Satou. “Lucide Proxy: Turning Student Web Proxies into DDoS Bots.” JFrog Security Research, 13 липня 2026 року, дата доступу 14 липня 2026 року. https://research.jfrog.com/post/lucide-proxy-npm-malware-campaign/
  2. SafeDep Team. “141 npm Packages Abuse Registry as Adware Hosting.” SafeDep, травень 2026 року, дата доступу 14 липня 2026 року. https://safedep.io/malicious-npm-terminal3airport-proxy-adware-spam/

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.