# Attaque de la chaîne d'approvisionnement sur LiteLLM : Comment les hackers ont infiltré la startup IA Mercor
La plateforme IA Mercor, qui se spécialise dans le recrutement pour l'entraînement de modèles IA, a été victime d'une attaque par le biais de la compromission de la bibliothèque Python LiteLLM. L'incident a touché une plateforme valorisée à 10 milliards de dollars qui verse plus de 2 millions de dollars par jour aux contractants. Les hackers ont compromis Trivy, obtenu un accès à PyPI, et publié des versions malveillantes 1.82.7 et 1.82.8 de la bibliothèque, utilisée comme proxy pour les API LLM.
Mécanisme de l'attaque via PyPI
L'attaque a commencé le 24 mars lorsque le groupe TeamPCP a piraté l'analyseur de vulnérabilités Trivy, extrait un jeton de publication, et téléchargé des paquets LiteLLM infectés. La bibliothèque est téléchargée 97 millions de fois par mois et sert d'interface unifiée vers les modèles d'OpenAI, Anthropic, et d'autres.
Le code malveillant s'est activé dès l'installation, sans nécessiter d'import de litellm. Il a extrait :
- Les clés SSH ;
- Les identifiants cloud ;
- Les secrets Kubernetes ;
- Les clés API des fournisseurs.
La brèche a été découverte grâce à un bug du malware : un fichier .pth a déclenché une bifurcation récursive de processus, provoquant une fork bomb qui a planté le système d'un ingénieur chez FutureSearch et révélé l'incident.
Conséquences pour Mercor et l'écosystème
Le groupe Lapsus$ a revendiqué avoir volé 4 To de données Mercor via Tailscale VPN. Le dump inclut :
- 939 Go de code source ;
- 211 Go de base de données utilisateurs ;
- 3 To d'entretiens vidéo et documents de vérification.
L'analyse d'échantillons a révélé des données de Slack, systèmes de tickets, et logs d'agents IA. Mercor a confirmé avoir contenu l'incident mais a refusé de commenter les fuites de données clients. LiteLLM a supprimé les versions, suspendu les publications, et changé de fournisseur de conformité pour Vanta.
Ceci fait partie de la campagne TeamPCP : Axios avait précédemment été compromis dans npm, avec plus de 60 paquets affectés dans divers registres.
Vulnérabilités de la chaîne d'approvisionnement dans l'écosystème Python
LiteLLM, en tant que proxy pour les API LLM, est critique pour les applications IA. L'attaque met en lumière des risques comme :
- La dépendance à des paquets ouverts sans vérification ;
- L'absence de sandboxing lors de l'installation ;
- L'énorme échelle de distribution (97 millions d'installations/mois).
Les développeurs sont invités à :
- Vérifier les hachages des paquets avant installation ;
- Utiliser des environnements virtuels avec versions figées ;
- Surveiller les dépendances avec des outils comme Dependabot ou Snyk ;
- Auditer les chaînes d'approvisionnement en utilisant le framework SLSA.
Enseignements clés
- Échelle de la menace : Une dépendance compromise a impacté des milliers de projets IA utilisant LiteLLM comme passerelle vers les LLM.
- Détails techniques : Le malware a volé des secrets lors de
pip install, sans imports en exécution, via le mécanisme.pth. - Réponse : PyPI a supprimé les paquets, LiteLLM mène un audit ; Mercor a engagé des experts forensics.
- Contexte plus large : La campagne TeamPCP a touché >60 paquets, y compris dans npm.
L'incident souligne la nécessité d'approches zero-trust en sécurité de la chaîne d'approvisionnement pour l'infrastructure IA.
— Editorial Team
Aucun commentaire pour le moment.