Mercor подтвердил кибератаку, связанную с проектом LiteLLM

Стартап Mercor, занимающийся ИИ-рекрутингом, подтвердил инцидент безопасности, связанный с атакой на цепочку поставок, в которой участвует открытый проект LiteLLM. Компания сообщила TechCrunch во вторник, что она стала «одной из тысяч компаний», пострадавших от недавнего компрометации проекта LiteLLM, который был связан с хакерской группой TeamPCP.

Подтверждение инцидента совпало с тем, что группа хакеров Lapsus$ заявила о том, что нацелилась на Mercor и получила доступ к его данным. В данный момент неясно, как группа Lapsus$ получила украденные данные от Mercor в рамках кибератаки TeamPCP. Основанный в 2023 году, Mercor сотрудничает с такими компаниями, как OpenAI и Anthropic, для обучения моделей ИИ, привлекая специализированных экспертов из различных областей, включая науки, медицину и юриспруденцию, в основном из Индии.

Стартап сообщает о более чем 2 миллионах долларов ежедневных выплат и был оценен в 10 миллиардов долларов после раунда финансирования Series C на сумму 350 миллионов долларов, который возглавила Felicis Ventures в октябре 2025 года. Представитель Mercor Хайди Хагберг подтвердила TechCrunch, что компания «оперативно» приняла меры для локализации и устранения инцидента безопасности. «Мы проводим тщательное расследование с поддержкой ведущих экспертов по судебной экспертизе», - сказала Хагберг.

«Мы будем продолжать общаться с нашими клиентами и подрядчиками по мере необходимости и выделим ресурсы, необходимые для скорейшего разрешения ситуации». Ранее Lapsus$ взяла на себя ответственность за предполагаемую утечку данных на своем сайте утечек и поделилась образцом данных, якобы украденных у Mercor, который TechCrunch проверил. Образец включал материалы, касающиеся данных Slack и, по-видимому, данных по билетам, а также два видео, на которых предположительно запечатлены разговоры между ИИ-системами Mercor и подрядчиками на его платформе.

Хагберг отказалась отвечать на последующие вопросы о том, связаны ли инцидент с утверждениями Lapsus$, или были ли получены, эксфилированы или использованы данные клиентов или подрядчиков. Компрометация LiteLLM впервые была обнаружена на прошлой неделе после того, как в пакете, связанном с открытым проектом стартапа, поддерживаемого Y Combinator, был обнаружен вредоносный код. Хотя вредоносный код был идентифицирован и удален в течение нескольких часов, инцидент вызвал внимание из-за широкого использования LiteLLM в интернете, с библиотекой, загружаемой миллионы раз в день, по данным компании безопасности Snyk.

Инцидент также побудил LiteLLM внести изменения в свои процессы соблюдения, включая переход от спорного стартапа Delve к Vanta для сертификаций соблюдения. По-прежнему неясно, сколько компаний пострадало от инцидента, связанного с LiteLLM, или произошла ли утечка данных, поскольку расследования продолжаются.