Mercoreen populaire startup voor AI-werving heeft een beveiligingsincident bevestigd dat verband houdt met een supply chain-aanval waarbij het open source-project LiteLLM betrokken is.
De AI-startup vertelde dinsdag aan TechCrunch dat het “een van de duizenden bedrijven” was die getroffen waren door een recente compromittering van het LiteLLM-project, dat gekoppeld was aan een hackergroep genaamd TeamPCP. De bevestiging van het incident komt nadat de afpersinghackergroep Lapsus$ beweerde dat zij Mercor hadden aangevallen en toegang hadden gekregen tot zijn gegevens.
Het is niet meteen duidelijk hoe de Lapsus$-bende de gestolen gegevens van Mercor heeft verkregen als onderdeel van de cyberaanval van TeamPCP.
Mercor, opgericht in 2023, werkt samen met bedrijven als OpenAI en Anthropic om AI-modellen te trainen door gespecialiseerde domeinexperts in te huren, zoals wetenschappers, artsen en advocaten uit onder meer India. De startup zegt dat het meer dan $ 2 miljoen aan dagelijkse uitbetalingen en var gewaardeerd op 10 miljard dollar na een Series C-ronde van $ 350 miljoen onder leiding van Felicis Ventures in oktober 2025.
Mercor-woordvoerder Heidi Hagberg bevestigde tegenover TechCrunch dat het bedrijf “onmiddellijk actie had ondernomen” om het beveiligingsincident in te dammen en te verhelpen.
“We voeren een grondig onderzoek uit, ondersteund door vooraanstaande externe forensische experts”, aldus Hagberg. “We zullen indien nodig rechtstreeks met onze klanten en aannemers blijven communiceren en de nodige middelen inzetten om de kwestie zo snel mogelijk op te lossen.”
Eerder eiste Lapsus$ de verantwoordelijkheid op voor het schijnbare datalek op de leksite, door een voorbeeld te delen van gegevens die naar verluidt van Mercor waren gehaald en die TechCrunch had beoordeeld. Het voorbeeld bevatte materiaal dat refereerde aan Slack-gegevens en wat leek op ticketgegevens, evenals twee video’s die naar verluidt gesprekken lieten zien tussen de AI-systemen van Mercor en aannemers op zijn platform.
Techcrunch-evenement
San Francisco, CA
|
13.-15. Oktober 2026
Hagberg weigerde vervolgvragen te beantwoorden over de vraag of het incident verband hield met claims van Lapsus$ of dat er toegang was verkregen tot gegevens van klanten of contractanten, geëxfiltreerd of misbruikt.
Het compromis van LiteLLM verscheen oorspronkelijk vorige week nadat kwaadaardige code werd ontdekt in een pakket dat verband hield met het open source-project van de door Y Combinator ondersteunde startup. Hoewel de kwaadaardige code binnen enkele uren werd geïdentificeerd en verwijderd, kreeg het incident veel aandacht vanwege het wijdverbreide gebruik van LiteLLM op internet, waar de bibliotheek miljoenen keren per dag werd gedownload, aldus beveiligingsbedrijf Snyk. Het incident was voor LiteLLM ook aanleiding om wijzigingen aan te brengen in de nalevingsprocessen, waaronder van de controversiële startup Delve naar Vanta voor conformiteitscertificeringen.
Het blijft onduidelijk hoeveel bedrijven werden getroffen door het LiteLLM-gerelateerde incident en of er gegevensblootstelling heeft plaatsgevonden naarmate het onderzoek voortduurt.
