Mercor confirme une attaque informatique : Lapsus$ revendique le vol de 4 To de données

Selon le suivi de 1M AI News, la plateforme de recrutement par IA Mercor a confirmé avoir subi une cyberattaque à la suite d’une brèche dans la chaîne d’approvisionnement de la bibliothèque Python open source LiteLLM. Mercor a indiqué que c’est « l’une des milliers d’entreprises touchées » et a engagé des experts médico-légaux tiers afin d’enquêter. LiteLLM est une bibliothèque Python qui a été téléchargée 97 millions de fois en un mois, utilisée par des développeurs comme une interface unifiée pour se connecter à plus de 100 services d’IA, dont OpenAI et Anthropic. Un groupe de hackers nommé TeamPCP a téléversé de versions malveillantes injectées 1.82.7 et 1.82.8 sur PyPI, qui contenaient du code destiné à voler des clés SSH, des jetons API, des fichiers .env et des identifiants de services cloud, tout en mettant en place une porte dérobée persistante. Les versions malveillantes ont été retirées dans les heures suivant leur découverte par la société de sécurité Snyk, mais la fenêtre d’exposition a été suffisante pour que les attaquants infiltrent des systèmes en aval. Le groupe de ransomware Lapsus$ a ensuite revendiqué la responsabilité de l’attaque sur leur site de fuite, affirmant qu’ils avaient volé environ 4TB de données, notamment : 1. 939GB de code source 2. 211GB de bases de données 3. 3TB de bacs de stockage (alléguant qu’ils contenaient des enregistrements d’entretiens vidéo, des documents d’authentification, etc.) 4. Toutes les données provenant du VPN TailScale. Lapsus$ a également publié quelques exemples de données dans son message, y compris des enregistrements de communications Slack, des informations du système de tickets, et des vidéos d’échanges entre le système d’IA de Mercor et des contractants de la plateforme. Des chercheurs en sécurité sur les réseaux sociaux ont analysé les échantillons divulgués et ont noté la présence de structures internes de fichiers de projet suspectées d’être liées à Amazon, Apple et Meta, mais Mercor n’a pas confirmé quelles données client spécifiques auraient été affectées. Fondée en 2023 avec une valorisation de $10 milliards (série C en octobre 2025), Mercor gère plus de 30 000 contractants experts et verse plus de $2 millions par jour à des contractants, fournissant des services de retour humain de niveau expert nécessaires à l’entraînement et à l’évaluation de modèles pour des laboratoires d’IA comme OpenAI, Anthropic et Google DeepMind. Un porte-parole de Mercor a confirmé qu’une enquête a été lancée, mais a refusé de commenter si l’incident est lié aux affirmations de Lapsus$, et n’a pas non plus précisé si des données de clients ou de contractants ont été consultées, divulguées ou utilisées à mauvais escient. Si les affirmations de Lapsus$ sont vraies, cela constituerait un incident de sécurité important, affectant directement le cœur des processus d’entraînement de plusieurs des principaux laboratoires d’IA. La relation actuelle entre TeamPCP et Lapsus$ reste incertaine. Les analystes de Cybernews suggèrent que l’attaque de Lapsus$ contre Mercor pourrait signaler une collaboration substantielle entre TeamPCP et l’organisation de ransomware, similaire à des réactions en chaîne précédentes survenues après des vulnérabilités exploitées par ShinyHunters dans Salesforce et Cl0p dans MOVEit.