Mercor, une startup spécialisée dans le recrutement assisté par intelligence artificielle très populaire, a confirmé avoir été la cible d’un incident de sécurité lié à une attaque via la chaîne d’approvisionnement impliquant le projet open-source LiteLLM. La société a indiqué à TechCrunch mardi qu’elle faisait partie des « milliers d’entreprises » affectées par cette compromission, qui a été liée à un groupe de hackers nommé TeamPCP. La confirmation de cette attaque intervient également alors que le groupe de hackers Lapsus$ a revendiqué avoir ciblé Mercor et obtenu l’accès à ses données.
Fondée en 2023, Mercor collabore avec des acteurs tels qu’OpenAI et Anthropic pour entraîner des modèles d’intelligence artificielle en faisant appel à des experts spécialisés comme des scientifiques, des médecins et des juristes provenant notamment d’Inde. La startup indique gérer plus de 2 millions de dollars en paiements quotidiens et a été évaluée à 10 milliards de dollars après une levée de fonds de 350 millions de dollars lors de sa série C en octobre 2025, menée par Felicis Ventures. Selon Heidi Hagberg, porte-parole de Mercor, l’entreprise a « agi rapidement » pour contenir et remédier à l’incident. Elle a précisé à TechCrunch : « Nous menons une enquête approfondie, assistée par des experts en forensic de renommée, et continuerons à communiquer directement avec nos clients et partenaires durant le processus. »
L’attaque continue de faire l’objet d’investigations, laissant planer l’incertitude quant à l’étendue exacte des données compromises.
Il est important de noter que Lapsus$ a revendiqué la responsabilité du récent piratage de données via sa plateforme de fuite, partageant un extrait de données qu’il aurait dérobées à Mercor. TechCrunch a eu accès à un échantillon, qui comprenait des références à des données Slack, des données de tickets, ainsi que deux vidéos montrant des conversations entre les systèmes d’IA de Mercor et ses contractants. Toutefois, la société a refusé de répondre à de nouvelles questions concernant la connexion éventuelle entre cette revendication et l’incident, notamment si des données clients ou partenaires ont été effectivement extraites ou exploitées.
Ce récent incident avec LiteLLM a été révélé la semaine dernière, lorsqu’un code malveillant a été découvert dans un package associé à ce projet open-source soutenu par Y Combinator. Bien que le code malveillant ait été rapidement supprimé, l’événement a attiré l’attention en raison de la large utilisation de LiteLLM, qui est téléchargé des millions de fois chaque jour selon la société de sécurité Snyk. Suite à cette faille, LiteLLM a ajusté ses processus de conformité, passant de Delve à Vanta pour ses certifications, dans le but de renforcer ses mesures de sécurité et de conformité. La question des impacts potentiels reste cependant en suspens, car les enquêtes sont toujours en cours pour déterminer le nombre de sociétés affectées et si une quelconque exposition de données a eu lieu.
