Кампанія Lucide Proxy використала 148 npm-пакетів для розміщення учнівських вебпроксі, які могли перетворювати вкладки відвідувачів на вузли DDoS-ботнету. JFrog Security Research з’ясувала, що це не була звичайна інфекція під час встановлення: приховані модулі генерували трафік, коли людина відкривала проксі-вебзастосунок. Перша хвиля пакетів почалася 27 травня 2026 року, а друга з’явилася 8 липня [1].
Тому головне питання — не лише «Чи встановлював я один із цих npm-пакетів?», а й «Чи відкривав я сторінку Lucide, Riverbend Tutoring або Northstar Tutoring?». Відвідувач міг створювати атакувальний трафік без імпорту залежності чи запуску виконуваного файла.

Кому потрібно перевірити ризик Lucide Proxy?
| Ситуація | Ризик і перша перевірка |
|---|---|
| Ви відвідували проксі на основі Lucide | Браузер міг завантажити генератор трафіку, віддалені скрипти, рекламу та service worker. Закрийте сторінку й очистьте збережені дані сайту. |
| Ви керуєте мережею школи або компанії | Шукайте домени кампанії, незвичні сплески WebSocket у браузерах і тривалий вихідний upload-трафік. |
| Ви завантажили один зі 148 npm-пакетів | Видаліть його з manifests і lockfiles. Саме встановлення не запускало описаний DDoS-шлях, але пакет не повинен залишатися у build або hosted app. |
| Ви лише прочитали про кампанію | Дій не потрібно, якщо у вашій історії немає переліченого пакета, proxy hostname, відвідування сторінки, розширення або завантаження. |
Як проксі перетворював браузер на DDoS-бота
Проксі працював і дозволяв учням відкривати заблоковані сайти чи ігри. За інтерфейсом ховався обфускований JavaScript bundle: ще до рендерингу React-сторінки запускалися два модулі. Перший завантажував змінний JavaScript із GitHub-гілки через jsDelivr без фіксованого commit і перевірки цілісності. Віддалений код отримував права origin проксі-сторінки, включно з доступом до cookies і local storage цього origin [1].
JFrog відновила payload від 30 травня, який кожні 500 мілісекунд надсилав новий міждоменний запит розміром один мегабайт. Це приблизно 2 МБ вихідного трафіку за секунду з кожної активної вкладки. Другий модуль відкривав WebSocket-з’єднання з Wisp-проксі та швидко створював і закривав потоки, виснажуючи сокети й журнали сервера. Ціллю був віддалений проксі-сервер, а не localhost на комп’ютері відвідувача.
Липневі пакети відрізнялися від травневої атаки
Активні remote loader і Wisp generator були у збірці від середини травня до 31 травня. За даними JFrog, хвиля пакетів від 8 липня містила пізнішу adware-only збірку. Однак застосунок залишався обфускованим, продовжував завантажувати сторонні скрипти та посилався на змінну віддалену інфраструктуру, тому адміністраторам не слід вважати новіші пакети безпечними [1].
Раніше SafeDep вже описала 141 пакет як proxy-adware та зловживання npm registry. Подальша деобфускація й аналіз архівів JFrog виявили приховану DDoS-можливість і розширили список до 148 пакетів [2].
Що робити, якщо ви відкривали Lucide Proxy
- Закрийте всі пов’язані вкладки. Зупиніть проксі-сторінку до очищення, щоб вона не продовжувала генерувати трафік.
- Перевірте історію браузера. Шукайте Lucide, Riverbend Tutoring, Northstar Tutoring, незнайомі освітні proxy hostnames і домени з повного звіту JFrog.
- Видаліть дані сайту. Очистьте cookies, local storage, кешовані файли та дозволи підозрілих proxy domains. У Chrome або Chromium відкрийте
chrome://serviceworker-internals/і скасуйте реєстрацію service workers, пов’язаних із цими доменами. - Перезапустіть браузер і стежте за мережею. Якщо upload-трафік не зникає після закриття вкладок, перевірте інші сторінки, розширення, proxy settings і встановлені програми.
- Видаліть несподівані розширення або файли. Описаний DDoS-шлях працював у браузері, але агресивна реклама могла вести до додаткових інсталяцій. Якщо ви встановили розширення або запустили файл, видаліть його та виконайте повне сканування Gridinsoft Anti-Malware. Саме відвідування сторінки не доводить наявність стійкої Windows-інфекції.
Розробникам варто порівняти цю модель із компрометацією під час встановлення в матеріалі про Jscrambler npm. Ризик шкідливого коду в браузері також пояснює попередження про шкідливі розширення Edge, а власникам мереж стане в пригоді контекст про ботнет із 17 млн пристроїв.
Що робити мережевим і development-командам
- Заблокуйте домени та IP з актуального списку JFrog на рівні DNS, secure web gateway і proxy.
- Шукайте в browser і firewall logs домени кампанії, великі повторні міждоменні uploads та незвичну активність Wisp/WebSocket.
- Видаліть перелічені пакети з dependency manifests, lockfiles, внутрішніх mirrors і hosted builds, а потім перебудуйте середовище з довірених джерел.
- Не покладайтеся лише на install-time scanner: шкідливий код мав виконуватися у браузері відвідувача після розміщення застосунку.
Джерела
- Shavit Satou. “Lucide Proxy: Turning Student Web Proxies into DDoS Bots.” JFrog Security Research, 13 липня 2026 року, дата доступу 14 липня 2026 року. https://research.jfrog.com/post/lucide-proxy-npm-malware-campaign/
- SafeDep Team. “141 npm Packages Abuse Registry as Adware Hosting.” SafeDep, травень 2026 року, дата доступу 14 липня 2026 року. https://safedep.io/malicious-npm-terminal3airport-proxy-adware-spam/
