La startup de reclutamiento de IA Mercor ha confirmado un incidente de seguridad vinculado a un ataque a la cadena de suministro que involucra al proyecto de código abierto LiteLLM. El grupo de hackers Lapsus$ ha reivindicado la responsabilidad de haber atacado a Mercor y obtenido acceso a sus datos, aunque no está claro cómo obtuvieron la información a través del ataque TeamPCP. Mercor, fundada en 2023, facilita más de 2 millones de dólares en pagos diarios y recientemente recibió una ronda de financiación Serie C de 350 millones de dólares, valorándola en 10 mil millones de dólares. La empresa trabaja con compañías como OpenAI y Anthropic, conectando a expertos en diversos campos con modelos de IA.
El incidente, que salió a la luz la semana pasada tras el descubrimiento de código malicioso en un paquete asociado a LiteLLM, ha afectado a miles de empresas. LiteLLM, respaldada por Y Combinator, ha realizado cambios en sus procesos de cumplimiento, incluyendo el cambio de proveedor de certificaciones. Mercor ha declarado que está investigando el incidente con expertos forenses y que se comunicará directamente con sus clientes y contratistas. La empresa se ha negado a comentar sobre la conexión con Lapsus$ o si se ha accedido, exfiltrado o utilizado datos de clientes o contratistas. La investigación continúa para determinar el alcance total del impacto.