A Mercor, uma startup em ascensão no setor de recrutamento com uso de inteligência artificial, confirmou recentemente um incidente de segurança relacionado a um ataque à cadeia de suprimentos envolvendo o projeto open-source LiteLLM.
Em comunicado ao TechCrunch, a empresa afirmou que foi “uma entre milhares de organizações” impactadas pelo comprometimento do LiteLLM, associado ao grupo hacker TeamPCP. A confirmação surge em meio a alegações do grupo Lapsus$, conhecido por ações de extorsão digital, que afirmou ter invadido a Mercor e obtido acesso a informações internas.
Até o momento, não está claro de que forma o Lapsus$ teria conseguido acessar os dados da empresa nem se isso ocorreu diretamente a partir da falha explorada no ataque conduzido pelo TeamPCP.
Fundada em 2023, a Mercor atua conectando especialistas altamente qualificados — como cientistas, médicos e advogados — a empresas de tecnologia como OpenAI e Anthropic, com foco no treinamento de modelos de IA. A companhia afirma movimentar mais de US$ 2 milhões por dia em pagamentos e alcançou uma avaliação de US$ 10 bilhões após uma rodada Série C de US$ 350 milhões liderada pela Felicis Ventures em outubro de 2025.
A porta-voz da empresa, Heidi Hagberg, declarou que medidas imediatas foram tomadas para conter e mitigar os impactos do incidente. Segundo ela, uma investigação detalhada está em andamento, com apoio de especialistas independentes em análise forense digital.
“Estamos conduzindo uma apuração completa com suporte de profissionais externos altamente qualificados”, afirmou Hagberg. “Seguiremos em contato direto com clientes e contratados, além de mobilizar todos os recursos necessários para resolver a situação com agilidade.”
Anteriormente, o grupo Lapsus$ já havia reivindicado responsabilidade pela suposta violação, divulgando amostras de dados em seu site. O material analisado incluía referências a informações do Slack, registros de tickets e até vídeos que mostrariam interações entre sistemas de IA da Mercor e usuários da plataforma.
Apesar disso, a empresa não confirmou se o ataque está diretamente relacionado às alegações do Lapsus$, nem se houve acesso indevido, vazamento ou uso indevido de dados de clientes ou colaboradores.
O problema no LiteLLM veio à tona na semana anterior, quando foi identificado um código malicioso inserido em um pacote vinculado ao projeto open-source. Embora a ameaça tenha sido rapidamente neutralizada, o caso chamou atenção devido à ampla adoção da ferramenta, utilizada globalmente e com milhões de downloads diários, segundo a empresa de segurança Snyk.
Como consequência, a LiteLLM anunciou mudanças em seus processos de conformidade, incluindo a substituição da startup Delve pela Vanta na gestão de certificações.
Até agora, não há confirmação sobre o número total de empresas afetadas nem sobre a extensão de possíveis vazamentos de dados, enquanto as investigações seguem em andamento.
