10 միլիարդ դոլար գնահատված AI ստարտափ Mercor-ը հաստատել է, որ դարձել է LiteLLM բաց կոդով գրադարանի դեմ ուղղված մատակարարման շղթայի հարձակման զոհ: Ինցիդենտը, որը հայտնի է դարձել Lapsus$ հաքերային խմբի հայտարարություններից հետո, լուրջ վտանգ է ստեղծել հազարավոր աշխատանք փնտրողների անձնական տվյալների և խոշորագույն AI ընկերությունների անվտանգության համակարգերի համար:
Հարձակումը սկսվել է մարտի 27-ին, երբ TeamPCP հաքերային խումբը, օգտագործելով գրադարանի սպասարկողի կողմից փոխզիջման ենթարկված հավատարմագրերը, PyPI պահոցում տեղադրել է LiteLLM-ի երկու վնասակար տարբերակներ: Քանի որ LiteLLM-ը օգտագործվում է ամպային միջավայրերի մոտ 36%-ում, հազարավոր կազմակերպություններ, այդ թվում՝ Mercor-ը, ավտոմատ կերպով ներբեռնել են վնասակար կոդը՝ հնարավորություն տալով հարձակվողներին մուտք գործել իրենց համակարգեր:
Lapsus$-ը պնդում է, որ գողացել է ավելի քան 4ՏԲ տվյալներ, ներառյալ թեկնածուների պրոֆիլները, անձնական տվյալները, աշխատակիցների տեղեկատվությունը, սեփական ծրագրային կոդը և հարցազրույցների տեսագրությունները: Mercor-ը հայտնել է, որ իր անվտանգության թիմը ձեռնարկել է անհրաժեշտ միջոցներ իրավիճակը վերահսկելու համար և ներգրավել է երրորդ կողմի փորձագետներ՝ մանրակրկիտ հետաքննություն անցկացնելու նպատակով: Այս դեպքը վկայում է այն մասին, որ նույնիսկ ամենահարուստ AI ընկերությունները խոցելի են բաց կոդով ծրագրային ապահովման մատակարարման շղթաների նկատմամբ: