Mercor Confirma Ciberataque Ligado à Comprometimento da Cadeia de Suprimentos do Projeto LiteLLM
Pontos principais
- A Mercor confirmou um incidente de segurança relacionado a um ataque à cadeia de suprimentos do projeto de código aberto LiteLLM.
- O ataque foi atribuído ao grupo de hackers TeamPCP, que afetou milhares de empresas.
- O grupo de extorsão Lapsus$ alegou ter acessado os dados da Mercor e publicou uma amostra da suposta violação.
- A porta-voz da Mercor afirmou que a empresa agiu rapidamente para conter o incidente e contratou especialistas em perícia forense de terceiros.
- Fundada em 2023, a Mercor trabalha com empresas de inteligência artificial como OpenAI e Anthropic e processa mais de US$ 2 milhões em pagamentos diários.
- A empresa foi avaliada em US$ 10 bilhões após uma rodada de financiamento Series C de US$ 350 milhões em outubro de 2025.
- O LiteLLM removeu o código malicioso dentro de horas, mas o incidente levantou preocupações devido aos downloads diários massivos da biblioteca.
- O LiteLLM mudou seu parceiro de conformidade para a Vanta após a violação.
Mercor, uma startup de recrutamento de inteligência artificial que conecta especialistas em domínio com empresas como OpenAI e Anthropic, divulgou um incidente de segurança relacionado a um ataque à cadeia de suprimentos do projeto de código aberto LiteLLM. A violação, atribuída ao grupo de hackers TeamPCP, afetou milhares de organizações e coincidiu com as alegações do grupo de extorsão Lapsus$ de que havia acessado os dados da Mercor. A Mercor afirmou que agiu rapidamente para conter o incidente, contratou especialistas em perícia forense de terceiros e continua a se comunicar com clientes e contratados enquanto as investigações prosseguem.
Visão Geral do Incidente
A Mercor, uma startup que ajuda as empresas a treinar modelos de inteligência artificial contratando especialistas qualificados, confirmou que foi afetada por um recente ciberataque que se originou de uma comprometimento da cadeia de suprimentos do projeto de código aberto LiteLLM. A empresa informou à TechCrunch que foi "uma das milhares de empresas" afetadas após código malicioso ser descoberto em um pacote associado ao LiteLLM, uma biblioteca amplamente utilizada na internet. A intrusão na cadeia de suprimentos foi vinculada a um grupo de hackers conhecido como TeamPCP. Ao mesmo tempo, o grupo de extorsão Lapsus$ alegou responsabilidade por ter visado a Mercor e publicou uma amostra de dados que afirmou ter sido obtida da empresa.
A amostra vazada incluiu referências a comunicações do Slack, dados de ticketing e dois vídeos que aparentemente mostram conversas entre os sistemas de inteligência artificial da Mercor e os contratados em sua plataforma. Embora a autenticidade de todo o conjunto de dados não tenha sido verificada independentemente, a TechCrunch revisou a amostra e relatou seu conteúdo. A porta-voz da Mercor, Heidi Hagberg, recusou-se a confirmar se a alegação do Lapsus$ estava diretamente relacionada ao ataque à cadeia de suprimentos do TeamPCP ou se algum dado de cliente ou contratado havia sido acessado, exfiltrado ou mal utilizado.
Contexto e Escala da Empresa
Fundada em 2023, a Mercor trabalha com empresas de inteligência artificial de alto perfil, incluindo OpenAI e Anthropic, para fornecer expertise específica de domínio de profissionais como cientistas, médicos e advogados. A startup relata ter facilitado mais de US$ 2 milhões em pagamentos diários para seus contratados. Após uma rodada de financiamento Series C de US$ 350 milhões liderada pela Felicis Ventures em outubro de 2025, a Mercor foi avaliada em US$ 10 bilhões.
Resposta e Investigação em Andamento
De acordo com Hagberg, a Mercor agiu prontamente para conter e remediar o incidente de segurança. A empresa contratou especialistas em perícia forense de terceiros para realizar uma investigação minuciosa e se comprometeu a manter os clientes e contratados informados conforme apropriado. A Mercor também afirmou que dedicaria os recursos necessários para resolver a questão o mais rápido possível.
A própria comprometimento do LiteLLM foi descoberta na semana passada, e o código malicioso foi removido dentro de horas. O incidente chamou a atenção porque a biblioteca é baixada milhões de vezes por dia, de acordo com a empresa de segurança Snyk. Em resposta, o LiteLLM anunciou mudanças nos seus processos de conformidade, passando de um parceiro de conformidade controverso para a Vanta para certificações. Ainda não está claro quantas organizações foram afetadas pela violação relacionada ao LiteLLM ou se houve exposição de dados, pois as investigações continuam.
No geral, a situação destaca o risco crescente de ataques à cadeia de suprimentos em componentes de código aberto amplamente utilizados e destaca os desafios que as empresas enfrentam quando múltiplos atores de ameaça visam a mesma vulnerabilidade.