AI-рекрутинговая платформа Mercor подтвердила инцидент безопасности, связанный с атакой на цепочку поставок через открытую Python-библиотеку LiteLLM. Стартап, оцененный в $10 млрд после раунда Series C на $350 млн в октябре 2025 года, работает с OpenAI и Anthropic — привлекает ученых, врачей и юристов для обучения ИИ-моделей и ежедневно выплачивает контракторам более $2 млн.

Цепочка атаки началась 24 марта. Хакерская группировка TeamPCP скомпрометировала сканер уязвимостей Trivy, через него получила токен для публикации в PyPI и загрузила две зараженные версии LiteLLM — 1.82.7 и 1.82.8. Библиотека используется как единый шлюз к API языковых моделей и скачивается около 97 млн раз в месяц. Вредоносный код крал SSH-ключи, облачные учетные данные, секреты Kubernetes и API-ключи сразу при установке — даже без вызова import litellm. Обнаружить атаку помог баг в самой малвари: файл .pth рекурсивно порождал дочерние процессы, создавая форк-бомбу, которая обрушила систему инженера из FutureSearch.

Вслед за TeamPCP на сцену вышла группировка Lapsus$. Она заявила о краже 4 ТБ данных Mercor — якобы через VPN-сервис Tailscale — и выставила их на аукцион в даркнете. По утверждению хакеров, в массив входят 939 ГБ исходного кода платформы, 211 ГБ пользовательской базы и 3 ТБ хранилища с видеоинтервью и документами для верификации личности. TechCrunch изучил образцы: в них обнаружились данные из Slack, системы тикетов, а также записи разговоров ИИ-агента Mercor с контракторами. Связь между TeamPCP и Lapsus$ пока не установлена.

Представитель Mercor Хайди Хагберг подтвердила, что компания "оперативно локализовала инцидент" и ведет расследование с привлечением сторонних криминалистов. На вопросы TechCrunch о том, были ли данные клиентов или контракторов похищены, она отвечать отказалась. LiteLLM, в свою очередь, уже удалила зараженные версии из PyPI, приостановила публикацию новых релизов до завершения аудита цепочки поставок и сменила провайдера комплаенса с Delve на Vanta.

Инцидент стал частью серии: за неделю до этого через ту же кампанию TeamPCP была скомпрометирована библиотека Axios в npm, а общее число зараженных пакетов в разных реестрах превысило 60. Для AI-индустрии это тревожный сигнал — атака на одну зависимость в PyPI поставила под удар тысячи компаний, использующих LiteLLM как прокси к моделям OpenAI, Anthropic и другим провайдерам.

P.S. Поддержать меня можно подпиской на канал "сбежавшая нейросеть", где я рассказываю про ИИ с творческой стороны.