Anthropic 的 Claude Code 源代码泄漏事件余波未平,另一场事故又接踵而至了。
但 Claude Code 事故纯属自己人手滑,虽然尴尬,好歹没有外部攻击者介入。而这次的主角 Mercor 就没这么幸运了,它遭遇了一场由黑客组织精心策划的多层供应链攻击。攻击者沿着软件依赖关系的信任链条一路向下,从开源安全工具打到 AI 基础设施,再打进企业内网,最终把这家估值 100 亿美元、为 OpenAI 和 Anthropic 等头部实验室提供数据标注服务的独角兽翻了个底朝天。
4 月 1 日,Mercor 在社交媒体发布声明,确认自己是 LiteLLM 供应链攻击事件中“数千家受影响企业之一”,表示安全团队已迅速介入遏制和修复,并聘请了第三方取证专家展开调查。
图丨相关推文(来源:X)
但 Lapsus$ 这边已经开始叫卖了。这个臭名昭著的黑客组织在暗网泄密站点上声称对此次攻击负责,挂出了一场“实时拍卖”:4TB 数据,价高者得。
据 Cybernews 和 TechCrunch 等媒体的梳理,Lapsus$ 声称通过 Mercor 的 Tailscale VPN 窃取了全部数据,其中包括 939GB 的平台源代码、一个超过 211GB 的用户数据库,以及约 3TB 的存储桶内容,里面装着大量视频面试录像和身份验证材料,包括承包商的护照扫描件和证件照。
TechCrunch 审查了 Lapsus$ 公开的部分样本,发现其中包含 Slack 通讯记录、工单系统数据,以及两段据称展示 Mercor AI 系统与承包商对话的视频。
图丨被拍卖的数据(来源:X)
Mercor 发言人 Heidi Hagberg 拒绝回答后续问题,包括此事是否与 Lapsus$ 的声明有关,以及客户或承包商数据是否已被访问、外泄或滥用。社交媒体上流传的更多泄漏样本还出现了疑似 Mercor 客户的内部代号:Amazon、Athena、Aphrodite、Meta、Apple。其中 Athena 和 Aphrodite 被认为是某些客户的项目代号。如果属实,泄漏范围可能远不止 Mercor 自身。
从目前的公开信息来看,Mercor 并不是被 Lapsus $ 直接入侵的,这起事件的源头要追溯到一场规模大得多的级联式供应链攻击。
3 月 19 日,开源漏洞扫描工具 Trivy(由 Aqua Security 维护)的 CI/CD 流水线被一个名为 TeamPCP 的黑客组织攻破。攻击者利用此前一次安全事件中未完全轮换的凭证,劫持了 Trivy GitHub Actions 中 76 个版本标签,把受信任的版本引用悄悄指向了恶意提交。
植入的 payload 是一个信息窃取器,能从构建环境中收割环境变量、云凭证、SSH 密钥等敏感信息,加密后外传到攻击者控制的服务器。由于正常的 Trivy 扫描仍然会在恶意代码执行后照常运行,很多用户看到的是正常输出,根本察觉不到凭证已经被偷走了。
3 月 23 日,TeamPCP 用同样的手法攻破了 Checkmarx 的 KICS 代码扫描工具。3 月 24 日,攻击蔓延到 LiteLLM,这是一个极其流行的开源 LLM API 代理库,为开发者提供统一接口来调用 OpenAI、Anthropic、Bedrock 等 100 多个大模型服务。
TeamPCP 利用从 Trivy 攻击中窃取的 CI/CD 凭证,直接在 PyPI 上发布了被投毒的 LiteLLM 1.82.7 和 1.82.8 版本。恶意包上线约 40 分钟后被 PyPI 安全团队隔离,但这 40 分钟已经足够。
LiteLLM 每月有近 1 亿次下载量。任何在那个窗口期通过 pip 安装或更新了 LiteLLM 且未锁定版本的项目,都可能中招。ReversingLabs 的分析指出,LiteLLM 作为 AI 基础设施的通用代理层,天然集中管理着大量 API 密钥和云凭证,一旦被攻破就成了理想的感染中枢。
Wiz 的安全研究人员表示,他们观察到被窃凭证“被迅速验证并用于探索受害者环境、外泄更多数据”。而在协作层面,事情还在升级:据 Palo Alto Networks 旗下 Unit 42 的分析,TeamPCP 目前正与 Lapsus $ 以及勒索软件团伙 CipherForce、Vect 合作,共同泄漏数据并实施敲诈。TeamPCP 甚至声称将向数十万用户发送邀请,让尽可能多的人加入对受害企业的勒索行列。
Mercor 是第一家公开确认受此轮攻击影响的下游企业,但几乎可以确定不会是最后一家。在上周的 RSA 大会上,Google 旗下 Mandiant 的咨询 CTO Charles Carmakal 对记者表示,Mandiant 已知超过 1,000 个 SaaS 环境正在“积极应对”TeamPCP 供应链攻击的连锁影响。
他说这 1,000 多个下游受害者的数字,可能还会再扩大 500、1,000,甚至 10,000,“我们知道这些攻击者正在与其他多个团伙合作。”威胁情报组织 vx-underground 的估计数据窃贼已经从约 50 万台机器上外泄了数据和密钥。
Cisco 也没能置身事外。有报道称 TeamPCP 通过 Trivy 攻击中窃取的凭证入侵了 Cisco 的内部开发环境并窃取了源代码,Cisco 随后对 The Register 表示已“意识到正在影响整个行业的 Trivy 供应链问题”,并“迅速启动了评估”。但 Cisco 两次拒绝回答一个直接问题:是否有任何 Cisco 系统被攻击者访问过?
回看整个攻击链,DreamFactory CTO Kevin McGahey 概括称:TeamPCP 执行的是一场“从安全工具到 AI 基础设施的系统性升级攻击”。先攻陷安全扫描器,这类工具在 CI/CD 流水线中以高权限运行,组织对其有着隐性的充分信任;收割凭证;再用这些凭证去投毒下游的 AI 基础设施。Trivy 是安全工具,LiteLLM 是 AI 代理层,Mercor 是终端企业,攻击者沿着依赖关系的信任链条逐层突破,每一步都在利用上一步拿到的凭证。
对 Mercor 来说,泄漏的后果可能相当持久。超过 3 万名承包商的身份验证资料可能已经暴露,视频面试中录制的面部表情、声音和行为信号是没法像密码一样重置的生物特征数据。已经有律所宣布正在调查针对 Mercor 的集体诉讼。
而对于那些同样依赖 LiteLLM 的企业来说,紧急安全审计恐怕才刚刚开始。攻击窗口虽然只有 40 分钟,但通过传递性依赖扩散出去的感染面到底有多大,目前仍然未知。
参考资料:
1.https://www.theregister.com/2026/04/02/mercor_supply_chain_attack/
2.https://x.com/AlvieriD/status/2038779690295378004
运营/排版:何晨龙