Mercor, uma popular startup de recrutamento de IA, confirmou um incidente de segurança ligado a um ataque à cadeia de suprimentos envolvendo o projeto de código aberto LiteLLM.
A startup de IA disse ao TechCrunch na terça-feira que era “uma entre milhares de empresas” afetadas por um recente comprometimento do projeto LiteLLM, que estava vinculado a um grupo de hackers chamado TeamPCP. A confirmação do incidente ocorre quando o grupo de hackers de extorsão Lapsus$ alegou que tinha como alvo a Mercor e obteve acesso aos seus dados.
Não está imediatamente claro como a gangue Lapsus$ obteve os dados roubados da Mercor como parte do ataque cibernético do TeamPCP.
Fundada em 2023, a Mercor trabalha com empresas como OpenAI e Anthropic para treinar modelos de IA, contratando especialistas especializados no domínio, como cientistas, médicos e advogados de mercados como a Índia. A startup afirma que facilita mais de US$ 2 milhões em pagamentos diários e foi avaliada em US$ 10 bilhões após uma rodada Série C de US$ 350 milhões liderada pela Felicis Ventures em outubro de 2025.
A porta-voz da Mercor, Heidi Hagberg, confirmou ao TechCrunch que a empresa “agiu prontamente” para conter e remediar o incidente de segurança.
“Estamos conduzindo uma investigação completa apoiada pelos principais especialistas forenses terceirizados”, disse Hagberg. “Continuaremos a nos comunicar diretamente com nossos clientes e contratados conforme apropriado e a dedicar os recursos necessários para resolver o assunto o mais rápido possível.”
Anteriormente, Lapsus$ assumiu a responsabilidade pela aparente violação de dados em seu site de vazamento e compartilhou uma amostra de dados supostamente retirados da Mercor, que o TechCrunch revisou. A amostra incluía material referenciando dados do Slack e o que pareciam ser dados de tickets, bem como dois vídeos que supostamente mostravam conversas entre os sistemas de IA da Mercor e contratados em sua plataforma.
Evento Techcrunch
São Francisco, Califórnia
|
13 a 15 de outubro de 2026
Hagberg se recusou a responder a perguntas de acompanhamento sobre se o incidente estava relacionado a reivindicações da Lapsus$ ou se quaisquer dados de clientes ou contratados foram acessados, exfiltrados ou utilizados indevidamente.
O comprometimento do LiteLLM surgiu originalmente na semana passada, depois que um código malicioso foi descoberto em um pacote associado ao projeto de código aberto da startup apoiada pelo Y Combinator. Embora o código malicioso tenha sido identificado e removido em poucas horas, o incidente foi investigado devido ao uso generalizado do LiteLLM na Internet, com a biblioteca baixada milhões de vezes por dia, de acordo com a empresa de segurança Snyk. O incidente também levou a LiteLLM a fazer mudanças em seus processos de conformidade, incluindo a mudança da polêmica startup Delve para Vanta para certificações de conformidade.
Ainda não está claro quantas empresas foram afetadas pelo incidente relacionado ao LiteLLM ou se ocorreu alguma exposição de dados, à medida que as investigações continuam.
