MercorがLiteLLMサプライチェーン攻撃の被害を受けた

AI採用企業Mercorは、詐欺師が4テラバイトのデータ盗難を主張した後、最近のLiteLLMサプライチェーン攻撃の影響を開示しました。

LiteLLMインシデントは3月27日に発生し、1週間前に実施されたTrivyサプライチェーン攻撃の結果でした。

「当社のCI/CDセキュリティスキャンワークフローで使用されているTrivyの依存関係から、妥協が発生したと考えられます。」とLiteLLMはインシデント説明に記載しています。

保守者の侵害されたキレデンシャルを使用して、TeamPCPハッキンググループは2つの悪意あるLiteLLM PyPIパッケージバージョン（1.82.7および1.82.8）を公開し、これらはおよそ40分間ダウンロード可能でした。

LiteLLMはクラウド環境の36％に存在すると推定されており、エクスポーズウィンドウは小さく見えますが、悪意あるパッケージバージョンはMercorを含む数千のパッケージによって自動的にダウンロードされた可能性があります。

「当社は、LiteLLMを含むサプライチェーン攻撃の影響を受けた数千社の1つであることを最近特定しました。」とスタートアップは水曜日に述べました。

「当社のセキュリティチームはインシデントの封じ込めと改善のために迅速に対応しました。主要なサードパーティのフォレンジクス専門家による支援を受けて、徹底的な調査を実施しています。」とMercorは付け加えました。

同社は影響の詳細を共有していませんが、Lapsus$恐喝グループは月曜日にMercorをリークサイトに掲載し、4TB以上のデータ盗難を主張しています。

Lapsus$は情報をオークションにかけており、これには候補者プロフィール、個人識別情報、雇用主データ、ユーザーアカウントと認証情報、動画インタビュー、機密情報、ソースコード、キーとシークレット、およびTailScale VPNデータが含まれると主張されています。

TeamPCPは最近、Lapsus$と提携して、その広範なサプライチェーン企業の一部として取得したデータとアクセスを現金化したと報告されており、恐喝グループがMercorをリークサイトに掲載するのは驚きではありません。ただし、同社はまだLapsus$の主張を確認していません。

SecurityWeekは該当する声明についてMercorにメールを送信し、同社が応答する場合はこの記事を更新します。