# Útok na dodavatelský řetězec LiteLLM: jak hackeři prolomili AI-startup Mercor
AI platforma Mercor, specializující se na nábor pro trénink modelů AI, byla zasažena útokem prostřednictvím kompromitace Python knihovny LiteLLM. Incident postihl platformu s valuací 10 miliard USD, která denně vyplácí kontraktorům více než 2 miliony USD. Hackeři kompromitovali Trivy, získali přístup k PyPI a zveřejnili škodlivé verze 1.82.7 a 1.82.8 knihovny, která slouží jako proxy pro API LLM.
Mechanismus útoku přes PyPI
Útok začal 24. března: skupina TeamPCP prolomila skener zranitelností Trivy, získala token pro publikování a nahrála infikované balíčky LiteLLM. Knihovna se stahuje 97 milionůkrát měsíčně a slouží jako unifikovaný rozhraní k modelům OpenAI, Anthropic a dalším.
Škodlivý kód se aktivoval při instalaci, bez nutnosti importu litellm. Extrahoval:
- SSH klíče;
- Cloudové přihlašovací údaje;
- Kubernetes tajemství;
- API klíče poskytovatelů.
Objevení proběhlo kvůli chybě v malwaru: .pth soubor způsobil rekurzivní fork procesů, což vedlo k fork bombě. To znefunkčnilo systém inženýra FutureSearch a odhalilo incident.
Důsledky pro Mercor a ekosystém
Skupina Lapsus$ prohlásila o krádeži 4 TB dat Mercor přes Tailscale VPN. Dump obsahuje:
- 939 GB zdrojového kódu;
- 211 GB databáze uživatelů;
- 3 TB videozáznamů pohovorů a dokumentů ověření.
Analýza vzorků ukázala data ze Slacku, ticketových systémů a logů AI agenta. Mercor potvrdila lokalizaci incidentu a odmítla komentovat únik dat klientů. LiteLLM odstranila verze, pozastavila vydání a změnila poskytovatele compliance na Vanta.
Jedná se o součást kampaně TeamPCP: dříve byla kompromitována Axios v npm, celkový počet balíčků přesahuje 60 v různých registrech.
Zranitelnosti dodavatelského řetězce v Python ekosystému
LiteLLM jako proxy pro LLM-API je klíčové pro AI aplikace. Útok demonstruje rizika:
- Závislost na otevřených balíčcích bez ověření;
- Chybějící sandboxing při instalaci;
- Rozsah šíření (97 milionů instalací/měsíc).
Vývojářům se doporučuje:
- Kontrolovat haše balíčků před instalací;
- Používat virtuální prostředí s fixovanými verzemi;
- Monitorovat závislosti nástroji jako Dependabot nebo Snyk;
- Auditovat dodavatelský řetězec pomocí SLSA frameworku.
Co je důležité
- Rozsah hrozby: Jedna kompromitovaná závislost postihla tisíce AI projektů, které používají LiteLLM jako bránu k LLM.
- Technické detaily: Malware kradl tajemství při
pip install, bez runtime importu, přes mechanismus.pth. - Reakce: PyPI odstranil balíčky, LiteLLM provádí audit; Mercor najala kriminalisty.
- Širší kontext: Kampaň TeamPCP postihla >60 balíčků, včetně npm.
Incident podtrhuje nutnost zero-trust v bezpečnosti dodavatelského řetězce pro AI infrastrukturu.
— Editorial Team
Zatím žádné komentáře.