Anthropic 的 Claude Code 源代碼泄漏事件余波未平，另一場(chǎng)事故又接踵而至了。

但 Claude Code 事故純屬自己人手滑，雖然尷尬，好歹沒(méi)有外部攻擊者介入。而這次的主角 Mercor 就沒(méi)這么幸運(yùn)了，它遭遇了一場(chǎng)由黑客組織精心策劃的多層供應(yīng)鏈攻擊。攻擊者沿著軟件依賴關(guān)系的信任鏈條一路向下，從開(kāi)源安全工具打到 AI 基礎(chǔ)設(shè)施，再打進(jìn)企業(yè)內(nèi)網(wǎng)，最終把這家估值 100 億美元、為 OpenAI 和 Anthropic 等頭部實(shí)驗(yàn)室提供數(shù)據(jù)標(biāo)注服務(wù)的獨(dú)角獸翻了個(gè)底朝天。

4 月 1 日，Mercor 在社交媒體發(fā)布聲明，確認(rèn)自己是 LiteLLM 供應(yīng)鏈攻擊事件中“數(shù)千家受影響企業(yè)之一”，表示安全團(tuán)隊(duì)已迅速介入遏制和修復(fù)，并聘請(qǐng)了第三方取證專家展開(kāi)調(diào)查。

圖丨相關(guān)推文（來(lái)源：X）

但 Lapsus$ 這邊已經(jīng)開(kāi)始叫賣了。這個(gè)臭名昭著的黑客組織在暗網(wǎng)泄密站點(diǎn)上聲稱對(duì)此次攻擊負(fù)責(zé)，掛出了一場(chǎng)“實(shí)時(shí)拍賣”：4TB 數(shù)據(jù)，價(jià)高者得。

據(jù) Cybernews 和 TechCrunch 等媒體的梳理，Lapsus$ 聲稱通過(guò) Mercor 的 Tailscale VPN 竊取了全部數(shù)據(jù)，其中包括 939GB 的平臺(tái)源代碼、一個(gè)超過(guò) 211GB 的用戶數(shù)據(jù)庫(kù)，以及約 3TB 的存儲(chǔ)桶內(nèi)容，里面裝著大量視頻面試錄像和身份驗(yàn)證材料，包括承包商的護(hù)照掃描件和證件照。

TechCrunch 審查了 Lapsus$ 公開(kāi)的部分樣本，發(fā)現(xiàn)其中包含 Slack 通訊記錄、工單系統(tǒng)數(shù)據(jù)，以及兩段據(jù)稱展示 Mercor AI 系統(tǒng)與承包商對(duì)話的視頻。

圖丨被拍賣的數(shù)據(jù)（來(lái)源：X）

Mercor 發(fā)言人 Heidi Hagberg 拒絕回答后續(xù)問(wèn)題，包括此事是否與 Lapsus$ 的聲明有關(guān)，以及客戶或承包商數(shù)據(jù)是否已被訪問(wèn)、外泄或?yàn)E用。社交媒體上流傳的更多泄漏樣本還出現(xiàn)了疑似 Mercor 客戶的內(nèi)部代號(hào)：Amazon、Athena、Aphrodite、Meta、Apple。其中 Athena 和 Aphrodite 被認(rèn)為是某些客戶的項(xiàng)目代號(hào)。如果屬實(shí)，泄漏范圍可能遠(yuǎn)不止 Mercor 自身。

從目前的公開(kāi)信息來(lái)看，Mercor 并不是被 Lapsus $ 直接入侵的，這起事件的源頭要追溯到一場(chǎng)規(guī)模大得多的級(jí)聯(lián)式供應(yīng)鏈攻擊。

3 月 19 日，開(kāi)源漏洞掃描工具 Trivy（由 Aqua Security 維護(hù)）的 CI/CD 流水線被一個(gè)名為 TeamPCP 的黑客組織攻破。攻擊者利用此前一次安全事件中未完全輪換的憑證，劫持了 Trivy GitHub Actions 中 76 個(gè)版本標(biāo)簽，把受信任的版本引用悄悄指向了惡意提交。

植入的 payload 是一個(gè)信息竊取器，能從構(gòu)建環(huán)境中收割環(huán)境變量、云憑證、SSH 密鑰等敏感信息，加密后外傳到攻擊者控制的服務(wù)器。由于正常的 Trivy 掃描仍然會(huì)在惡意代碼執(zhí)行后照常運(yùn)行，很多用戶看到的是正常輸出，根本察覺(jué)不到憑證已經(jīng)被偷走了。

3 月 23 日，TeamPCP 用同樣的手法攻破了 Checkmarx 的 KICS 代碼掃描工具。3 月 24 日，攻擊蔓延到 LiteLLM，這是一個(gè)極其流行的開(kāi)源 LLM API 代理庫(kù)，為開(kāi)發(fā)者提供統(tǒng)一接口來(lái)調(diào)用 OpenAI、Anthropic、Bedrock 等 100 多個(gè)大模型服務(wù)。

TeamPCP 利用從 Trivy 攻擊中竊取的 CI/CD 憑證，直接在 PyPI 上發(fā)布了被投毒的 LiteLLM 1.82.7 和 1.82.8 版本。惡意包上線約 40 分鐘后被 PyPI 安全團(tuán)隊(duì)隔離，但這 40 分鐘已經(jīng)足夠。

LiteLLM 每月有近 1 億次下載量。任何在那個(gè)窗口期通過(guò) pip 安裝或更新了 LiteLLM 且未鎖定版本的項(xiàng)目，都可能中招。ReversingLabs 的分析指出，LiteLLM 作為 AI 基礎(chǔ)設(shè)施的通用代理層，天然集中管理著大量 API 密鑰和云憑證，一旦被攻破就成了理想的感染中樞。

Wiz 的安全研究人員表示，他們觀察到被竊憑證“被迅速驗(yàn)證并用于探索受害者環(huán)境、外泄更多數(shù)據(jù)”。而在協(xié)作層面，事情還在升級(jí)：據(jù) Palo Alto Networks 旗下 Unit 42 的分析，TeamPCP 目前正與 Lapsus $ 以及勒索軟件團(tuán)伙 CipherForce、Vect 合作，共同泄漏數(shù)據(jù)并實(shí)施敲詐。TeamPCP 甚至聲稱將向數(shù)十萬(wàn)用戶發(fā)送邀請(qǐng)，讓盡可能多的人加入對(duì)受害企業(yè)的勒索行列。

Mercor 是第一家公開(kāi)確認(rèn)受此輪攻擊影響的下游企業(yè)，但幾乎可以確定不會(huì)是最后一家。在上周的 RSA 大會(huì)上，Google 旗下 Mandiant 的咨詢 CTO Charles Carmakal 對(duì)記者表示，Mandiant 已知超過(guò) 1,000 個(gè) SaaS 環(huán)境正在“積極應(yīng)對(duì)”TeamPCP 供應(yīng)鏈攻擊的連鎖影響。

他說(shuō)這 1,000 多個(gè)下游受害者的數(shù)字，可能還會(huì)再擴(kuò)大 500、1,000，甚至 10,000，“我們知道這些攻擊者正在與其他多個(gè)團(tuán)伙合作?！蓖{情報(bào)組織 vx-underground 的估計(jì)數(shù)據(jù)竊賊已經(jīng)從約 50 萬(wàn)臺(tái)機(jī)器上外泄了數(shù)據(jù)和密鑰。

Cisco 也沒(méi)能置身事外。有報(bào)道稱 TeamPCP 通過(guò) Trivy 攻擊中竊取的憑證入侵了 Cisco 的內(nèi)部開(kāi)發(fā)環(huán)境并竊取了源代碼，Cisco 隨后對(duì) The Register 表示已“意識(shí)到正在影響整個(gè)行業(yè)的 Trivy 供應(yīng)鏈問(wèn)題”，并“迅速啟動(dòng)了評(píng)估”。但 Cisco 兩次拒絕回答一個(gè)直接問(wèn)題：是否有任何 Cisco 系統(tǒng)被攻擊者訪問(wèn)過(guò)？

回看整個(gè)攻擊鏈，DreamFactory CTO Kevin McGahey 概括稱：TeamPCP 執(zhí)行的是一場(chǎng)“從安全工具到 AI 基礎(chǔ)設(shè)施的系統(tǒng)性升級(jí)攻擊”。先攻陷安全掃描器，這類工具在 CI/CD 流水線中以高權(quán)限運(yùn)行，組織對(duì)其有著隱性的充分信任；收割憑證；再用這些憑證去投毒下游的 AI 基礎(chǔ)設(shè)施。Trivy 是安全工具，LiteLLM 是 AI 代理層，Mercor 是終端企業(yè)，攻擊者沿著依賴關(guān)系的信任鏈條逐層突破，每一步都在利用上一步拿到的憑證。

對(duì) Mercor 來(lái)說(shuō)，泄漏的后果可能相當(dāng)持久。超過(guò) 3 萬(wàn)名承包商的身份驗(yàn)證資料可能已經(jīng)暴露，視頻面試中錄制的面部表情、聲音和行為信號(hào)是沒(méi)法像密碼一樣重置的生物特征數(shù)據(jù)。已經(jīng)有律所宣布正在調(diào)查針對(duì) Mercor 的集體訴訟。

而對(duì)于那些同樣依賴 LiteLLM 的企業(yè)來(lái)說(shuō)，緊急安全審計(jì)恐怕才剛剛開(kāi)始。攻擊窗口雖然只有 40 分鐘，但通過(guò)傳遞性依賴擴(kuò)散出去的感染面到底有多大，目前仍然未知。

參考資料：

1.https://www.theregister.com/2026/04/02/mercor_supply_chain_attack/

2.https://x.com/AlvieriD/status/2038779690295378004

運(yùn)營(yíng)/排版：何晨龍