A Mercor confirma ataque cibernético: Lapsus$ afirma ter roubado 4TB de dados

De acordo com a monitorização da 1M AI News, a plataforma de recrutamento de IA Mercor confirmou que sofreu um ataque cibernético devido a uma violação na cadeia de fornecimento da biblioteca Python open-source LiteLLM. A Mercor afirmou que é “uma das milhares de empresas afetadas” e contratou especialistas forenses externos para investigar. O LiteLLM é uma biblioteca Python que foi descarregada 97 milhões de vezes num mês, utilizada por programadores como uma interface unificada para se ligar a mais de 100 serviços de IA, incluindo OpenAI e Anthropic. Um grupo de hackers chamado TeamPCP carregou versões maliciosamente injetadas 1.82.7 e 1.82.8 no PyPI, que continham código capaz de roubar chaves SSH, tokens de API, ficheiros .env e credenciais de serviços cloud, ao mesmo tempo que estabelecia uma backdoor persistente. As versões maliciosas foram removidas horas depois de terem sido detetadas pela empresa de segurança Snyk, mas a janela de exposição foi suficiente para os atacantes infiltrarem sistemas a jusante. O grupo de ransomware Lapsus$ reivindicou posteriormente a responsabilidade pelo ataque no seu site de fuga, afirmando que roubou aproximadamente 4TB de dados, incluindo: 1. 939GB de código-fonte 2. 211GB de bases de dados 3. 3TB de buckets de armazenamento (alegadamente contendo gravações de entrevistas em vídeo, documentos de autenticação, etc.) 4. Todos os dados da TailScale VPN. A Lapsus$ também publicou algumas amostras de dados na sua publicação, incluindo registos de comunicação do Slack, informações do sistema de tickets e vídeos de interações entre o sistema de IA da Mercor e contratantes da plataforma. Investigadores de segurança nas redes sociais analisaram as amostras divulgadas e notaram a presença de estruturas internas de ficheiros de projeto suspeitas de estarem relacionadas com Amazon, Apple e Meta, mas a Mercor não confirmou quais dados específicos de clientes foram afetados. Fundada em 2023, com uma avaliação de $10 mil milhões (Série C em outubro de 2025), a Mercor gere mais de 30.000 contratantes especialistas e paga mais de $2 milhões por dia aos contratantes, disponibilizando serviços de feedback humano de nível especializado necessários para o treino e a avaliação de modelos para laboratórios de IA como OpenAI, Anthropic e Google DeepMind. Um porta-voz da Mercor confirmou que foi iniciada uma investigação, mas recusou-se a comentar se o incidente está relacionado com as alegações da Lapsus$, nem especificou se algum dado de clientes ou de contratantes foi acedido, divulgado ou utilizado indevidamente. Se as alegações da Lapsus$ forem verdadeiras, isto representaria um incidente de segurança significativo que afeta diretamente os dados centrais dos processos de treino de múltiplos laboratórios de IA líderes. A relação atual entre TeamPCP e Lapsus$ permanece incerta. Analistas da Cybernews sugerem que o ataque da Lapsus$ à Mercor pode sinalizar uma colaboração substancial entre a TeamPCP e a organização de ransomware, semelhante a reações em cadeia anteriores após vulnerabilidades exploradas pela ShinyHunters na Salesforce e pela Cl0p no MOVEit.