🗓️ Contexte
Article publié le 1 avril 2026 par The Record Media. Il rapporte la confirmation par la startup Mercor d’un incident de sécurité lié à une attaque supply chain ciblant le projet open-source LiteLLM.
🏢 Victime : Mercor
Mercor est une plateforme de recrutement spécialisée dans l’IA, valorisée à 10 milliards de dollars en octobre 2025. Elle travaille notamment avec OpenAI pour recruter des experts et entraîner des modèles d’IA. La porte-parole Heidi Hagberg a confirmé l’incident et indiqué que l’équipe sécurité a procédé à la containment et remédiation. Une investigation est en cours avec des experts forensiques externes.
⚙️ Vecteur d’attaque : LiteLLM / PyPI
- LiteLLM, projet open-source, a confirmé une attaque supply chain via des publications non autorisées de packages PyPI
- Un compte utilisateur PyPI aurait été compromis et utilisé pour distribuer du code malveillant
- Des milliers d’entreprises auraient été impactées
- Une version propre de LiteLLM a été publiée le lundi précédant l’article
🕵️ Acteurs de la menace
- L’attaque LiteLLM est attribuée au groupe TeamPCP
- Le groupe Lapsus$ a revendiqué sur son site avoir obtenu des centaines de gigaoctets de données Mercor
- Mercor n’a pas commenté les revendications de Lapsus$
📰 Nature de l’article
Article de presse spécialisée relatant une annonce d’incident confirmée par la victime, avec éléments d’attribution et contexte technique sur le vecteur supply chain.
🧠 TTPs et IOCs détectés
Acteurs de menace
- Lapsus$ (cybercriminal)
- TeamPCP (unknown)
TTP
- T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
- T1072 — Software Deployment Tools (Execution)
- T1078 — Valid Accounts (Defense Evasion)
🔗 Source originale : https://therecord.media/mercor-confirms-security-incident-tied-to-litellm