Mercor confirma ciberataque relacionado con la comprometida cadena de suministro de LiteLLM
Puntos clave
- Mercor confirmó un incidente de seguridad vinculado a un ataque a la cadena de suministro del proyecto de código abierto LiteLLM.
- El ataque fue atribuido al grupo de hackers TeamPCP, que afectó a miles de empresas.
- El grupo de extorsión Lapsus$ reclamó haber accedido a los datos de Mercor y publicó una muestra de la supuesta brecha.
- La portavoz de Mercor dijo que la empresa actuó rápidamente para contener el incidente y involucró a expertos forenses de terceros.
- Fundada en 2023, Mercor trabaja con empresas de inteligencia artificial como OpenAI y Anthropic y procesa más de $2 millones en pagos diarios.
- La empresa fue valorada en $10 mil millones después de una ronda de financiación Serie C de $350 millones en octubre de 2025.
- LiteLLM eliminó el código malicioso dentro de horas, pero el incidente generó preocupación debido a las masivas descargas diarias de la biblioteca.
- LiteLLM cambió a Vanta como socio de cumplimiento después de la brecha.
Mercor, una startup de reclutamiento de inteligencia artificial que conecta a expertos en dominios con empresas como OpenAI y Anthropic, reveló un incidente de seguridad vinculado a un ataque a la cadena de suministro del proyecto de código abierto LiteLLM. El incidente, atribuido al grupo de hackers TeamPCP, afectó a miles de organizaciones y coincidió con las afirmaciones del grupo de extorsión Lapsus$ de que había accedido a los datos de Mercor. Mercor dijo que actuó rápidamente para contener el incidente, involucró a expertos forenses de terceros y continúa comunicándose con clientes y contratistas mientras se llevan a cabo las investigaciones.
Resumen del incidente
Mercor, una startup que ayuda a las empresas a entrenar modelos de inteligencia artificial contrató a expertos especializados, confirmó que fue impactada por un ciberataque reciente que se originó a partir de una comprometida cadena de suministro del proyecto de código abierto LiteLLM. La empresa le dijo a TechCrunch que fue "una de las miles de empresas" afectadas después de que se descubrió código malicioso en un paquete asociado con LiteLLM, una biblioteca ampliamente utilizada en Internet. La intrusión en la cadena de suministro se vinculó a un grupo de hackers conocido como TeamPCP. Al mismo tiempo, el grupo de extorsión Lapsus$ reclamó la responsabilidad por apuntar a Mercor y publicó una muestra de datos que dijo haber tomado de la empresa.
La muestra filtrada incluyó referencias a comunicaciones de Slack, datos de ticketing y dos videos que parecían mostrar conversaciones entre los sistemas de inteligencia artificial de Mercor y los contratistas en su plataforma. Si bien la autenticidad de todo el conjunto de datos no se verificó de forma independiente, TechCrunch revisó la muestra y informó sobre su contenido. La portavoz de Mercor, Heidi Hagberg, se negó a confirmar si la afirmación de Lapsus$ estaba directamente conectada al ataque a la cadena de suministro relacionado con TeamPCP o si se había accedido, exfiltrado o utilizado algún dato de cliente o contratista.
Antecedentes y escala de la empresa
Fundada en 2023, Mercor trabaja con empresas de inteligencia artificial de alto perfil, incluyendo OpenAI y Anthropic, para proporcionar expertise específica del dominio de profesionales como científicos, médicos y abogados. La startup informa que facilita más de $2 millones en pagos diarios a sus contratistas. Después de una ronda de financiación Serie C de $350 millones liderada por Felicis Ventures en octubre de 2025, Mercor fue valorada en $10 mil millones.
Respuesta y investigación en curso
Según Hagberg, Mercor actuó rápidamente para contener y remediar el incidente de seguridad. La empresa involucró a expertos forenses de terceros para realizar una investigación exhaustiva y se comprometió a mantener informados a los clientes y contratistas según corresponda. Mercor también declaró que dedicaría los recursos necesarios para resolver el asunto lo antes posible.
La propia comprometida cadena de suministro de LiteLLM se descubrió la semana pasada, y el código malicioso se eliminó dentro de horas. El incidente llamó la atención porque la biblioteca se descarga millones de veces al día, según la empresa de seguridad Snyk. En respuesta, LiteLLM anunció cambios en sus procesos de cumplimiento, pasando de un socio de cumplimiento controvertido a Vanta para las certificaciones. Todavía no se sabe cuántas organizaciones fueron afectadas por la brecha relacionada con LiteLLM o si ocurrió alguna exposición de datos, ya que las investigaciones continúan.
En general, la situación subraya el creciente riesgo de ataques a la cadena de suministro en componentes de código abierto ampliamente utilizados y destaca los desafíos que enfrentan las empresas cuando múltiples actores amenazantes apuntan a la misma vulnerabilidad.