# Ataque a la Cadena de Suministro en LiteLLM: Cómo los Hackers Vulneraron la Startup de IA Mercor
La plataforma de IA Mercor, que se especializa en reclutamiento para entrenar modelos de IA, cayó víctima de un ataque a través del compromiso de la biblioteca de Python LiteLLM. El incidente afectó a una plataforma valorada en 10 mil millones de dólares que paga más de 2 millones de dólares diarios a contratistas. Los hackers comprometieron Trivy, obtuvieron acceso a PyPI e lanzaron versiones maliciosas 1.82.7 y 1.82.8 de la biblioteca, que se usa como proxy para APIs de LLM.
Mecanismo del Ataque a través de PyPI
El ataque comenzó el 24 de marzo cuando el grupo TeamPCP hackeó el escáner de vulnerabilidades Trivy, extrajo un token de publicación e subió paquetes infectados de LiteLLM. La biblioteca se descarga 97 millones de veces al mes y sirve como interfaz unificada para modelos de OpenAI, Anthropic y otros.
El código malicioso se activó al instalarse, sin necesidad de importar litellm. Extrajo:
- Claves SSH;
- Credenciales de nube;
- Secretos de Kubernetes;
- Claves de API de proveedores.
La brecha se descubrió por un fallo del malware: un archivo .pth provocó un bifurcado recursivo de procesos, causando una bomba de bifurcación que colapsó el sistema de un ingeniero en FutureSearch y expuso el incidente.
Consecuencias para Mercor y el Ecosistema
El grupo Lapsus$ afirmó haber robado 4 TB de datos de Mercor a través de Tailscale VPN. El volcado incluye:
- 939 GB de código fuente;
- 211 GB de base de datos de usuarios;
- 3 TB de entrevistas en video y documentos de verificación.
El análisis de muestras reveló datos de Slack, sistemas de tickets y registros de agentes de IA. Mercor confirmó que contuvo el incidente, pero se negó a comentar sobre fugas de datos de clientes. LiteLLM eliminó las versiones, pausó los lanzamientos y cambió de proveedores de cumplimiento a Vanta.
Esto forma parte de la campaña de TeamPCP: Axios fue comprometido previamente en npm, afectando a más de 60 paquetes en varios registros.
Vulnerabilidades en la Cadena de Suministro del Ecosistema de Python
LiteLLM, como proxy para APIs de LLM, es crítico para aplicaciones de IA. El ataque resalta riesgos como:
- Dependencia de paquetes abiertos sin verificación;
- Falta de sandboxing durante la instalación;
- Escala masiva de distribución (97 millones de instalaciones/mes).
Se recomienda a los desarrolladores:
- Verificar hashes de paquetes antes de instalar;
- Usar entornos virtuales con versiones fijadas;
- Monitorear dependencias con herramientas como Dependabot o Snyk;
- Auditar cadenas de suministro usando el marco SLSA.
Lecciones Clave
- Escala de la Amenaza: Una dependencia comprometida impactó a miles de proyectos de IA que usan LiteLLM como puerta de entrada a LLMs.
- Detalles Técnicos: El malware robó secretos durante
pip install, sin importaciones en tiempo de ejecución, mediante el mecanismo.pth. - Respuesta: PyPI eliminó los paquetes, LiteLLM está realizando una auditoría; Mercor contrató expertos forenses.
- Contexto Más Amplio: La campaña de TeamPCP afectó a >60 paquetes, incluyendo en npm.
El incidente subraya la necesidad de enfoques de confianza cero en la seguridad de la cadena de suministro para la infraestructura de IA.
— Editorial Team
Aún no hay comentarios.