Mercor Konfirmasi Serangan Siber: Lapsus$ Klaim Pencurian 4TB Data

Menurut pemantauan oleh 1M AI News, platform rekrutmen AI Mercor telah mengonfirmasi bahwa mereka mengalami serangan siber akibat pelanggaran pada rantai pasokan pustaka Python open-source LiteLLM. Mercor menyatakan bahwa mereka adalah “salah satu dari ribuan perusahaan yang terdampak” dan telah merekrut ahli forensik pihak ketiga untuk menyelidiki. LiteLLM adalah pustaka Python yang telah diunduh 97 juta kali dalam sebulan, digunakan oleh pengembang sebagai antarmuka terpadu untuk terhubung dengan lebih dari 100 layanan AI, termasuk OpenAI dan Anthropic. Sebuah kelompok peretas bernama TeamPCP mengunggah versi yang disuntikkan secara berbahaya 1.82.7 dan 1.82.8 ke PyPI, yang berisi kode untuk mencuri kunci SSH, token API, file .env, dan kredensial layanan cloud, sekaligus membangun backdoor yang persisten. Versi berbahaya tersebut dihapus dalam beberapa jam setelah ditemukan oleh perusahaan keamanan Snyk, tetapi jendela eksposurnya cukup bagi penyerang untuk menyusup ke sistem hilir. Kelompok peretas ransomware Lapsus$ kemudian mengklaim tanggung jawab atas serangan tersebut di situs kebocoran mereka, dengan menyatakan mereka mencuri sekitar 4TB data, termasuk: 1. 939GB kode sumber 2. 211GB basis data 3. 3TB bucket penyimpanan (diduga berisi rekaman wawancara video, dokumen autentikasi, dll.) 4. Semua data dari TailScale VPN. Lapsus$ juga mempublikasikan beberapa sampel data dalam unggahan mereka, termasuk catatan komunikasi Slack, informasi sistem tiket, serta video interaksi antara sistem AI Mercor dan para kontraktor platform. Peneliti keamanan di media sosial menganalisis sampel yang bocor dan mencatat adanya struktur file proyek internal yang diduga terkait dengan Amazon, Apple, dan Meta, tetapi Mercor belum mengonfirmasi data pelanggan spesifik mana yang terdampak. Didirikan pada 2023 dengan valuasi $10 miliar (Series C pada Oktober 2025), Mercor mengelola lebih dari 30.000 kontraktor ahli dan membayar lebih dari $2 juta per hari kepada kontraktor, menyediakan layanan umpan balik manusia berlevel ahli yang diperlukan untuk pelatihan dan evaluasi model bagi lab AI seperti OpenAI, Anthropic, dan Google DeepMind. Seorang juru bicara Mercor mengonfirmasi bahwa penyelidikan telah dimulai, tetapi menolak berkomentar mengenai apakah insiden tersebut terkait dengan klaim Lapsus$, dan juga tidak menyebutkan apakah ada data pelanggan atau kontraktor yang diakses, dibocorkan, atau disalahgunakan. Jika klaim Lapsus$ benar, ini akan menjadi insiden keamanan yang signifikan yang secara langsung berdampak pada data inti dari proses pelatihan beberapa lab AI terkemuka. Hubungan saat ini antara TeamPCP dan Lapsus$ masih belum jelas. Analis Cybernews menyarankan bahwa serangan Lapsus$ terhadap Mercor mungkin menandakan kolaborasi substansial antara TeamPCP dan organisasi ransomware tersebut, mirip dengan reaksi berantai sebelumnya setelah kerentanan yang dieksploitasi oleh ShinyHunters di Salesforce dan Cl0p di MOVEit.