Derrière de prétendus services de tutorat se cachait Lucide Proxy, un outil permettant d’accéder aux sites bloqués par les réseaux scolaires. Pendant près de deux semaines, les navigateurs de ses visiteurs ont aussi été utilisés pour saturer des serveurs distants, sans installation de logiciel ni signe évident à l’écran.
Un proxy scolaire sous couvert de tutorat
Sur l’écran, rien de particulièrement inquiétant. Riverbend Tutoring et Northstar Tutoring se présentaient comme de banals services éducatifs. Une fois la page ouverte, ils donnaient pourtant accès à Lucide Proxy, une application conçue pour contourner les restrictions d’un réseau et consulter des sites normalement inaccessibles.
Le service tenait sa promesse. Un élève pouvait lancer un jeu ou ouvrir une page bloquée par son établissement. Dans le même temps, son navigateur chargeait à distance des scripts invisibles capables de produire du trafic vers des serveurs choisis par les opérateurs.
JFrog a relié cette infrastructure à 148 paquets publiés sur npm. Contrairement aux campagnes classiques visant les développeurs, ces paquets ne cherchaient pas à infecter les machines lors de leur installation. Le registre servait principalement d’hébergement gratuit pour distribuer les fichiers du proxy aux visiteurs.
Deux mégaoctets par seconde depuis un seul navigateur
Entre le 16 et le 31 mai 2026, l’un des scripts envoyait toutes les demi-secondes une requête contenant environ un mégaoctet de données vers le site d’une école d’infirmières située dans l’Illinois.
Un seul navigateur pouvait ainsi générer près de deux mégaoctets de trafic par seconde. Avec 1 000 visiteurs actifs, le débit théorique atteignait deux gigaoctets par seconde. Les requêtes étaient lancées sans attendre les réponses précédentes, ce qui risquait également de ralentir l’ordinateur et la connexion de l’utilisateur. Autrement dit, la partie en ligne ou la visite d’un site interdit pouvait se transformer, à l’insu de l’élève, en contribution directe à une attaque par déni de service.
Plus de 10 000 connexions créées et détruites chaque seconde
Un autre module visait des serveurs utilisant Wisp, un protocole employé par certains proxys web. Chaque navigateur pouvait ouvrir jusqu’à 1 024 connexions WebSocket, puis multiplier les ordres de création et de fermeture. Dans sa configuration maximale, une seule session pouvait provoquer jusqu’à 10 240 ouvertures et autant de fermetures de connexions par seconde. Cette activité devait épuiser les ressources du serveur, encombrer ses journaux et finir par rendre le service indisponible.
Les capacités DDoS ont disparu du code le 31 mai. Les versions publiées ensuite se concentraient principalement sur la diffusion de publicités intrusives. Le chargeur distant est néanmoins resté en place, donnant aux opérateurs la possibilité de modifier à tout moment les scripts exécutés dans les navigateurs.






