Mercor, 10 milliards de valorisation, compromis par une dépendance Python que personne n'a auditée
Mercor a confirmé mardi à TechCrunch être « one of thousands of companies » affectée par la compromission du projet open source LiteLLM, liée au groupe de hackers TeamPCP. La même semaine, le gang d'extorsion Lapsus$ a revendiqué l'attaque, publié des échantillons de données sur son site de leak, et mis l'ensemble du butin aux enchères sur le dark web.
Heidi Hagberg, porte-parole de Mercor : « We recently identified that we were one of thousands of companies impacted by a supply chain attack involving LiteLLM. Our security team moved promptly to contain and remediate the incident. We are conducting a thorough investigation supported by leading third-party forensics experts. »
Hagberg a décliné de répondre aux questions de suivi sur un éventuel lien avec les revendications de Lapsus$, ou sur l'accès, l'exfiltration ou l'utilisation abusive de données clients ou contractants.
10 milliards
Mercor a été fondée en 2023. L'entreprise connecte des experts de domaine spécialisés — scientifiques, médecins, avocats — à des entreprises d'IA, dont OpenAI et Anthropic, pour l'entraînement de modèles. Elle traite plus de 2 millions de dollars de paiements quotidiens à ses contractants. En octobre 2025, Mercor a levé 350 millions de dollars en Series C mené par Felicis Ventures, à une valorisation de 10 milliards de dollars.
Le profil des données potentiellement compromises n'est pas anodin : des experts médicaux, juridiques et scientifiques sous contrat avec les plus grands labs IA au monde. Des vidéos d'entretiens. Des données de paiement. Des conversations internes sur Slack. Si Lapsus$ détient ce qu'il prétend détenir, c'est l'une des fuites les plus sensibles du secteur IA en 2026.
4 téraoctets
Lapsus$ affirme posséder 4 To de données Mercor. Le détail publié sur son blog de leak : une base de données non nommée de 211 Go, un bucket de 3 To contenant des vidéos d'entretiens et des données de vérification d'identité, 939 Go de code source de la plateforme, et l'ensemble des données du compte VPN Tailscale de l'entreprise.
TechCrunch a examiné un échantillon des données publiées. Il contenait du matériel référençant des données Slack, ce qui semblait être des données de ticketing, et deux vidéos montrant apparemment des conversations entre les systèmes IA de Mercor et des contractants sur sa plateforme.
Le code source — s'il est confirmé — expose l'architecture propriétaire de la plateforme de recrutement IA de Mercor. Pour une entreprise de 10 milliards de valorisation dont l'actif central est un algorithme de matching, c'est le pire scénario possible.
La chaîne
La compromission de LiteLLM est un maillon de la campagne TeamPCP qui a frappé cinq projets open source entre le 19 et le 31 mars 2026. TeamPCP a d'abord compromis Trivy (scanner de vulnérabilités d'Aqua Security) le 19 mars, volant des credentials CI/CD qui ont permis de pivoter vers Checkmarx KICS (23 mars), puis LiteLLM (24 mars), puis Telnyx (27 mars). Chaque compromission alimentait la suivante par les credentials volés lors de la précédente.
LiteLLM est une bibliothèque Python de proxy et gateway pour LLM, utilisée pour router les requêtes vers plus de 100 fournisseurs de modèles — OpenAI, Anthropic, Azure, Google Vertex, AWS Bedrock — via une interface unifiée. Environ 97 millions de téléchargements mensuels sur PyPI. TeamPCP a publié les versions 1.82.7 et 1.82.8 sur PyPI avec un backdoor de type infostealer. Le code malveillant a été détecté et retiré en quelques heures. Mais pour les organisations qui ont installé ou mis à jour pendant cette fenêtre, les credentials étaient déjà exfiltrés.
TeamPCP + Lapsus$
Le lien entre les deux groupes reste flou. TeamPCP a exécuté la compromission supply-chain initiale. Lapsus$ monétise les données volées. Les analystes de sécurité évoquent plusieurs scénarios : collaboration (TeamPCP compromet, Lapsus$ exfiltre et extorque), revente (TeamPCP vend l'accès initial, Lapsus$ opère ensuite), ou pivot (les deux groupes sont distincts et se sont rencontrés sur les mêmes credentials volés).
Lapsus$ est connu pour ses attaques contre Nvidia, Microsoft et Okta. TeamPCP a pivoté vers la monétisation de ses credentials volés en s'affiliant récemment à Vect, une nouvelle opération ransomware-as-a-service. Le CTO de Mandiant, Charles Carmakal, a prévenu que les secrets volés lors de la campagne TeamPCP « will enable more software supply chain attacks, SaaS environment compromises, ransomware and extortion events, and crypto heists over the next several days, weeks, and months. »
Mercor est la première victime enterprise publiquement confirmée de la chaîne TeamPCP-LiteLLM. Elle ne sera probablement pas la dernière.
LiteLLM
LiteLLM est un projet Y Combinator qui gère les clés API de chaque fournisseur LLM qu'une organisation utilise. Un déploiement typique stocke les credentials pour OpenAI, Anthropic, Azure, Google Vertex, AWS Bedrock — le tout dans un seul composant d'infrastructure. Compromettre LiteLLM, c'est obtenir les clés de l'ensemble de la stack LLM d'une organisation. C'est exactement ce que TeamPCP a fait.
Le projet a confirmé l'attaque, identifié que le compte PyPI d'un utilisateur avait été compromis et utilisé pour distribuer du code malveillant, et publié une version propre lundi. Dans la foulée, LiteLLM a changé de prestataire de conformité, passant de Delve (une startup controversée) à Vanta pour ses certifications.
Mercor traite 2 millions de dollars par jour en paiements à des contractants. Parmi ses clients : OpenAI et Anthropic. Les contractants sont des médecins, des avocats, des scientifiques, recrutés depuis des marchés comme l'Inde. Les vidéos d'entretiens IA publiées par Lapsus$ montrent des conversations entre ces experts et les systèmes automatisés de Mercor. Les données d'identité et de vérification dans le bucket de 3 To — si elles existent — pourraient inclure des passeports.
Le pattern
Mercor est un cas d'école de ce que les supply-chain attacks produisent quand elles atteignent le secteur IA. La startup utilise LiteLLM parce que c'est l'outil standard pour router des requêtes vers plusieurs fournisseurs de modèles. LiteLLM est un composant d'infrastructure critique utilisé par des milliers d'organisations. Sa compromission ne cible pas Mercor spécifiquement — elle cible l'écosystème entier. Le fait que Mercor soit la première victime visible tient à sa valorisation, à ses clients (OpenAI, Anthropic) et à la nature des données qu'elle détient (experts sous contrat, vidéos d'entretiens, données d'identité).
Le DSI qui lit cet article devrait vérifier trois choses immédiatement : si son organisation utilise LiteLLM, si les versions 1.82.7 ou 1.82.8 ont été installées entre le 24 et le 25 mars, et si des credentials ont été exposés. Si oui, traiter chaque machine affectée comme compromise et rotater tous les secrets — clés API LLM incluses.
TL;DR
Une startup IA à 10 milliards de dollars compromise par un infostealer dans une lib Python qu'elle n'a pas auditée. Lapsus$ réclame 4 To de données dont du code source et des vidéos d'entretiens médicaux et juridiques.
- Mercor (recrutement IA, $10B de valo, clients OpenAI/Anthropic, $2M de paiements/jour) confirme un incident de sécurité lié à la compromission supply-chain de LiteLLM par TeamPCP. Le gang d'extorsion Lapsus$ revendique 4 To de données volées — 939 Go de code source, 211 Go de base de données, 3 To de vidéos/vérification d'identité — et met le tout aux enchères.
- La compromission de LiteLLM fait partie de la campagne TeamPCP de mars 2026 (Trivy → Checkmarx → LiteLLM → Telnyx) où chaque projet compromis a fourni les credentials pour compromettre le suivant. LiteLLM stocke les clés API de tous les fournisseurs LLM d'une organisation — le compromettre, c'est obtenir les clés de la stack IA entière.
- Mercor est la première victime enterprise publiquement confirmée de la chaîne TeamPCP. Les données en jeu — experts médicaux et juridiques sous contrat, vidéos d'entretiens IA, passeports potentiels — en font l'une des fuites les plus sensibles du secteur IA en 2026. La porte-parole refuse de confirmer ou infirmer les revendications de Lapsus$.
Questions fréquentes
Mon organisation utilise LiteLLM — que faire?
Vérifier immédiatement si les versions 1.82.7 ou 1.82.8 ont été installées entre le 24 et le 25 mars. Si oui, traiter la machine comme compromise, rotater tous les credentials (clés API LLM, AWS, GCP, Azure, SSH, tokens CI/CD), et auditer les connexions sortantes pendant la fenêtre d'exposition.
Une version propre de LiteLLM a été publiée lundi.Quel est le lien entre TeamPCP et Lapsus$?
Incertain. TeamPCP a exécuté la compromission technique de LiteLLM via le vol de credentials PyPI. Lapsus$ est le groupe qui monétise les données via extorsion. La collaboration directe n'est pas confirmée, mais TeamPCP a récemment annoncé une affiliation avec Vect, une opération ransomware-as-a-service, ce qui suggère une professionnalisation de la monétisation.
Les données de contractants Mercor (médecins, avocats) sont-elles exposées?
Mercor refuse de le confirmer. Les échantillons publiés par Lapsus$ incluent des vidéos d'entretiens entre les systèmes IA de Mercor et ses contractants, ainsi que des données de ticketing et de Slack. Le bucket de 3 To revendiqué par Lapsus$ contiendrait des données de vérification d'identité. Si des passeports ou des données personnelles de professionnels de santé ou de droit sont dans le périmètre, les obligations réglementaires (RGPD, HIPAA selon les marchés) s'appliquent.