Mercor, ein auf künstliche Intelligenz gestützter Personalvermittler, hat öffentlich gemacht, dass das Unternehmen vom jüngsten Lieferkettenangriff auf LiteLLM betroffen ist. Anlass der Offenlegung sind Behauptungen von Erpressern, bei dem Angriff 4 Terabyte an Daten entwendet zu haben.
Nach Darstellung von LiteLLM ereignete sich der Vorfall am 27. März und war eine Folge des Trivy-Lieferkettenangriffs, der eine Woche zuvor durchgeführt worden war. “Wir gehen davon aus, dass die Kompromittierung von der Trivy-Abhängigkeit ausging, die wir in unserem CI/CD-Workflow zur Sicherheitsprüfung einsetzen”, heißt es in der Schilderung des Vorfalls durch LiteLLM.
Mithilfe der kompromittierten Zugangsdaten eines Maintainers veröffentlichte die Hackergruppe TeamPCP zwei manipulierte LiteLLM-Versionen im PyPI-Verzeichnis, konkret 1.82.7 und 1.82.8. Sie standen rund 40 Minuten lang zum Download bereit. LiteLLM ist Schätzungen zufolge in 36 Prozent aller Cloud-Umgebungen vorhanden; obwohl das Zeitfenster klein erscheint, wurden die schädlichen Paketversionen vermutlich automatisiert von Tausenden Systemen heruntergeladen – auch von Mercor.
“Wir haben kürzlich festgestellt, dass wir eines von Tausenden Unternehmen sind, die von einem Lieferkettenangriff im Zusammenhang mit LiteLLM betroffen waren”, teilte das Start-up am Mittwoch mit. “Unser Sicherheitsteam hat umgehend gehandelt, um den Vorfall einzudämmen und zu beheben. Wir führen eine gründliche Untersuchung durch, unterstützt von führenden externen Forensik-Experten”, ergänzte Mercor.
Details zu den Auswirkungen nannte das Unternehmen nicht. Die Erpressergruppe Lapsus$ führte Mercor am Montag auf ihrer Leak-Seite auf und behauptete, mehr als 4 Terabyte an Daten gestohlen zu haben. Lapsus$ versteigert die Informationen, die nach eigenen Angaben unter anderem Bewerberprofile, personenbezogene Daten, Arbeitgeberdaten, Nutzerkonten und Zugangsdaten, Videointerviews, geschützte Informationen, Quellcode, Schlüssel und Geheimnisse sowie TailScale-VPN-Daten umfassen.
Berichten zufolge hat sich TeamPCP kürzlich mit Lapsus$ zusammengetan, um die im Rahmen der breit angelegten Lieferkettenkampagne erlangten Daten und Zugänge zu Geld zu machen. Vor diesem Hintergrund überrascht die Auflistung von Mercor auf der Leak-Seite nicht. Das Unternehmen hat die Behauptungen von Lapsus$ bislang jedoch nicht bestätigt.
