Anthropic 的 Claude Code 源代碼泄漏事件餘波未平,另一場事故又接踵而至了。
但 Claude Code 事故純屬自己人手滑,雖然尷尬,好歹沒有外部攻擊者介入。而這次的主角 Mercor 就沒這麼幸運了,它遭遇了一場由黑客組織精心策劃的多層供應鏈攻擊。攻擊者沿着軟件依賴關係的信任鏈條一路向下,從開源安全工具打到 AI 基礎設施,再打進企業內網,最終把這家估值 100 億美元、爲 OpenAI 和 Anthropic 等頭部實驗室提供數據標註服務的獨角獸翻了個底朝天。
4 月 1 日,Mercor 在社交媒體發佈聲明,確認自己是 LiteLLM 供應鏈攻擊事件中“數千家受影響企業之一”,表示安全團隊已迅速介入遏制和修復,並聘請了第三方取證專家展開調查。
圖丨相關推文(來源:X)
但 Lapsus$ 這邊已經開始叫賣了。這個臭名昭著的黑客組織在暗網泄密站點上聲稱對此次攻擊負責,掛出了一場“實時拍賣”:4TB 數據,價高者得。
據 Cybernews 和 TechCrunch 等媒體的梳理,Lapsus$ 聲稱通過 Mercor 的 Tailscale VPN 竊取了全部數據,其中包括 939GB 的平臺源代碼、一個超過 211GB 的用戶數據庫,以及約 3TB 的存儲桶內容,裏面裝着大量視頻面試錄像和身份驗證材料,包括承包商的護照掃描件和證件照。
TechCrunch 審查了 Lapsus$ 公開的部分樣本,發現其中包含 Slack 通訊記錄、工單系統數據,以及兩段據稱展示 Mercor AI 系統與承包商對話的視頻。
圖丨被拍賣的數據(來源:X)
Mercor 發言人 Heidi Hagberg 拒絕回答後續問題,包括此事是否與 Lapsus$ 的聲明有關,以及客戶或承包商數據是否已被訪問、外泄或濫用。社交媒體上流傳的更多泄漏樣本還出現了疑似 Mercor 客戶的內部代號:Amazon、Athena、Aphrodite、Meta、Apple。其中 Athena 和 Aphrodite 被認爲是某些客戶的項目代號。如果屬實,泄漏範圍可能遠不止 Mercor 自身。
從目前的公開信息來看,Mercor 並不是被 Lapsus $ 直接入侵的,這起事件的源頭要追溯到一場規模大得多的級聯式供應鏈攻擊。
3 月 19 日,開源漏洞掃描工具 Trivy(由 Aqua Security 維護)的 CI/CD 流水線被一個名爲 TeamPCP 的黑客組織攻破。攻擊者利用此前一次安全事件中未完全輪換的憑證,劫持了 Trivy GitHub Actions 中 76 個版本標籤,把受信任的版本引用悄悄指向了惡意提交。
植入的 payload 是一個信息竊取器,能從構建環境中收割環境變量、雲憑證、SSH 密鑰等敏感信息,加密後外傳到攻擊者控制的服務器。由於正常的 Trivy 掃描仍然會在惡意代碼執行後照常運行,很多用戶看到的是正常輸出,根本察覺不到憑證已經被偷走了。
3 月 23 日,TeamPCP 用同樣的手法攻破了 Checkmarx 的 KICS 代碼掃描工具。3 月 24 日,攻擊蔓延到 LiteLLM,這是一個極其流行的開源 LLM API 代理庫,爲開發者提供統一接口來調用 OpenAI、Anthropic、Bedrock 等 100 多個大模型服務。
TeamPCP 利用從 Trivy 攻擊中竊取的 CI/CD 憑證,直接在 PyPI 上發佈了被投毒的 LiteLLM 1.82.7 和 1.82.8 版本。惡意包上線約 40 分鐘後被 PyPI 安全團隊隔離,但這 40 分鐘已經足夠。
LiteLLM 每月有近 1 億次下載量。任何在那個窗口期通過 pip 安裝或更新了 LiteLLM 且未鎖定版本的項目,都可能中招。ReversingLabs 的分析指出,LiteLLM 作爲 AI 基礎設施的通用代理層,天然集中管理着大量 API 密鑰和雲憑證,一旦被攻破就成了理想的感染中樞。
Wiz 的安全研究人員表示,他們觀察到被竊憑證“被迅速驗證並用於探索受害者環境、外泄更多數據”。而在協作層面,事情還在升級:據 Palo Alto Networks 旗下 Unit 42 的分析,TeamPCP 目前正與 Lapsus $ 以及勒索軟件團伙 CipherForce、Vect 合作,共同泄漏數據並實施敲詐。TeamPCP 甚至聲稱將向數十萬用戶發送邀請,讓儘可能多的人加入對受害企業的勒索行列。
Mercor 是第一家公開確認受此輪攻擊影響的下游企業,但幾乎可以確定不會是最後一家。在上週的 RSA 大會上,Google 旗下 Mandiant 的諮詢 CTO Charles Carmakal 對記者表示,Mandiant 已知超過 1,000 個 SaaS 環境正在“積極應對”TeamPCP 供應鏈攻擊的連鎖影響。
他說這 1,000 多個下游受害者的數字,可能還會再擴大 500、1,000,甚至 10,000,“我們知道這些攻擊者正在與其他多個團伙合作。”威脅情報組織 vx-underground 的估計數據竊賊已經從約 50 萬臺機器上外泄了數據和密鑰。
Cisco 也沒能置身事外。有報道稱 TeamPCP 通過 Trivy 攻擊中竊取的憑證入侵了 Cisco 的內部開發環境並竊取了源代碼,Cisco 隨後對 The Register 表示已“意識到正在影響整個行業的 Trivy 供應鏈問題”,並“迅速啓動了評估”。但 Cisco 兩次拒絕回答一個直接問題:是否有任何 Cisco 系統被攻擊者訪問過?
回看整個攻擊鏈,DreamFactory CTO Kevin McGahey 概括稱:TeamPCP 執行的是一場“從安全工具到 AI 基礎設施的系統性升級攻擊”。先攻陷安全掃描器,這類工具在 CI/CD 流水線中以高權限運行,組織對其有着隱性的充分信任;收割憑證;再用這些憑證去投毒下游的 AI 基礎設施。Trivy 是安全工具,LiteLLM 是 AI 代理層,Mercor 是終端企業,攻擊者沿着依賴關係的信任鏈條逐層突破,每一步都在利用上一步拿到的憑證。
對 Mercor 來說,泄漏的後果可能相當持久。超過 3 萬名承包商的身份驗證資料可能已經暴露,視頻面試中錄製的面部表情、聲音和行爲信號是沒法像密碼一樣重置的生物特徵數據。已經有律所宣佈正在調查針對 Mercor 的集體訴訟。
而對於那些同樣依賴 LiteLLM 的企業來說,緊急安全審計恐怕纔剛剛開始。攻擊窗口雖然只有 40 分鐘,但通過傳遞性依賴擴散出去的感染面到底有多大,目前仍然未知。
參考資料:
1.https://www.theregister.com/2026/04/02/mercor_supply_chain_attack/
2.https://x.com/AlvieriD/status/2038779690295378004
運營/排版:何晨龍
