Анонимный пакет, знакомый репозиторий. План сработал идеально
Около 14:00 по тихоокеанскому времени 28 марта 2026 года разработчики AI-стартапа Mercor, платформы для рекрутинга на основе нейросетей, запустили стандартный пайплайн развертывания. Скрипт загрузил обновление для LiteLLM, популярной библиотеки для унификации доступа к разным LLM. Все выглядело обычно. Только на этот раз вместе с кодом из PyPI пришел троян.
Через 47 минут система мониторинга Mercor зафиксировала аномальные исходящие подключения к серверам в Нидерландах. Еще через час хакеры из группировки TeamPCP (связанной с печально известным Lapsus$) получили полный доступ к продакшен-базе данных. В ней — резюме, результаты технических интервью, оценки кандидатов и, что критично, внутренние логи работы их проприетарной модели на базе fine-tuned Llama 4.
На 01.04.2026 уязвимость в версиях LiteLLM ниже 1.90.3 считается активной. Если вы не обновились до версии 1.90.3 или новее и не выполнили ротацию всех API-ключей (Anthropic Claude 3.7, GPT-5, Gemini 2.5 Ultra, Grok-3) — ваши credentials могли быть скомпрометированы.
Не ошибка, а закладка. Как устроили взлом
Это не была случайная уязвимость в коде. Команда аналитиков из CISA (Кибербезопасность и инфраструктурная безопасность США), расследующая инцидент, называет его "целевой атакой на цепочку поставок с элементами социальной инженерии".
Атака развивалась в три этапа:
- Компрометация аккаунта мейнтейнера. Хакеры взломали личную почту одного из ключевых контрибьюторов LiteLLM, используя утекший в 2025 году пароль (классика, которая все еще работает).
- Пуш вредоносного коммита. Через доступ к GitHub в основную ветку был добавлен код, который при определенных условиях (определенный user-agent в хедере запроса) начинал логировать все передаваемые через LiteLLM API-ключи и отправлять их на внешний сервер.
- Публикация зараженного пакета в PyPI. Скомпрометированный аккаунт запушил новую версию 1.89.1 в публичный репозиторий. Она выглядела как обычное обновление с исправлением багов.
"Заложенная функциональность была очень изящной, — комментирует эксперт по безопасности, пожелавший остаться анонимным. — Она не срабатывала при локальной разработке или в тестовых средах. Триггером был заголовок, который автоматически добавляли только некоторые CI/CD-пайплайны, в частности, популярные в стартап-среде". Mercor попал в эту выборку.
Почему Mercor? ИИ, данные и деньги
Mercor — не случайная жертва. Стартап, оцененный в 520 млн долларов после раунда B в начале 2026 года, хранит два типа "золота":
- Корпоративные данные клиентов. Платформа тестирует разработчиков для таких компаний, как Stripe, Plaid и несколько стелс-модных AI-лабораторий. Утечка включает задачи для собеседований, эталонные решения и критерии оценки — все это конкурентная информация.
- Проприетарная модель ранжирования. В основе сервиса — собственная дообученная версия Llama 4 (несмотря на все скандалы с ретракцией Meta, модель оставалась в их стеке). Ее логи оценки кандидатов теперь в руках хакеров.
"Мы выстраивали рвы для питчей инвесторам — уникальный AI, уникальные данные, — говорит бывший сотрудник Mercor. — Один ров оказался рвом с водой для хомячка. Вся наша "уникальность" утекла за три часа".
TeamPCP уже заявила, что выставит данные на продажу в даркнете. Цена? 5 миллионов долларов в Monero. Покупатели, скорее всего, найдутся. Это не просто резюме — это карта талантов всей Кремниевой долины.
Open-source больше не значит 'доверяй, но проверяй'. Это значит 'не доверяй никому'
Инцидент с LiteLLM — не первый и не последний. Это логичное развитие тренда, который мы наблюдаем с 2024 года. AI заваливает проекты мусорным кодом, а хакеры находят в этой куче идеальные укрытия для своих закладок.
| Проект | Тип атаки | Год | Последствия |
|---|---|---|---|
| LiteLLM | Компрометация мейнтейнера + вредоносный коммит | 2026 | Утечка данных Mercor, компрометация API-ключей тысяч компаний |
| PyTorch-nightly (поддельный пакет) | Typosquatting в PyPI | 2025 | Криптоджекинг на GPU-инфраструктуре исследователей |
| TensorFlow IO | Уязвимость в зависимостях | 2024 | RCE в системах обработки данных |
Проблема в том, что современный AI-стек — это матрешка из зависимостей. Ваш стартап использует библиотеку A, которая зависит от B, которая тянет C. Если C поддерживает один контрибьютор из Минска, который устал и бросил проект, ваша безопасность держится на его моральном состоянии. Смешно? Нет. Это реальность 2026 года.
Реакция сообщества предсказуема: паника. После ухода Ильи Карпати из OpenAI многие проекты остались без духовного лидера. Теперь еще и это.
Что делать, если ваш стартап построен на стеке, который может предать
Забудьте про "мы просто будем быстрее обновляться". Это не работает. Вот что реально имеет смысл делать прямо сейчас (не завтра, а сегодня):
- Зафиксируйте версии всего. Не 'transformers>=4.45.0', а 'transformers==4.45.2'. Да, вы пропустите новые фичи. Зато вас не убьет автоматическое обновление с трояном.
- Запускайте свой private PyPI/Maven/NPM. Проксируйте все загрузки через него. И проверяйте каждый новый пакет статическим анализом и песочницей. Да, это дорого. Взлом Mercor, по предварительным оценкам, обойдется им в 30-50 млн долларов потерь и упущенной выгоды. Что дороже?
- Аудит зависимостей — еженедельно. Не только на уязвимости (CVE), но и на изменения в команде поддержки. Если ключевой мейнтейнер бросил проект или сменил работу — это красный флаг уровня DEFCON 2.
- Рассмотрите коммерческие форки. Звучит еретически? После сегодняшнего дня — нет. Такие компании, как Mistral AI, которая покупает Koyeb, явно готовят полный стек "от железок до софта". Возможно, будущее за платными, но поддерживаемыми и застрахованными версиями open-source проектов.
Эксперты рекомендуют просмотреть историю установок за последний месяц. Если у вас есть pip install litellm==1.89.1 или любая версия до 1.90.3 — немедленно считайте все API-ключи, которые проходили через эту библиотеку, скомпрометированными. Ротация — обязательна.
А что же LiteLLM? Сообщество и последствия
Команда LiteLLM выпустила патч 1.90.3 уже через 9 часов после обнаружения атаки. Они отозвали скомпрометированные пакеты из PyPI, но, как и в случае с прошлыми атаками на цепочку поставок, яд уже распространился. Pip кэширует пакеты, CI/CD пайплайны используют локальные зеркала.
Доверие к проекту подорвано. В ветке дискуссий на GitHub — сотни гневных комментариев. "Мы доверяли вам наши ключи от GPT-5 и Claude!" — пишет один из пользователей. Это тот самый момент, когда open-source проект сталкивается с реальностью корпоративной ответственности, но без корпоративных ресурсов.
Станет ли этот инцидент поводом для ужесточения регуляции, подобной запрету Anthropic в госсекторе США? Вполне возможно. Когда утечка данных затрагивает не пароли, а логику работы ИИ, риски выходят на новый уровень.
Неочевидный прогноз: атаки сместятся на владельцев проектов
Вот о чем никто не говорит громко, но о чем все думают в кулуарах. TeamPCP и Lapsus$ нашли золотую жилу. Зачем взламывать сотни стартапов, если можно взломать один open-source проект, которым они все пользуются?
Ожидайте волны целевых атак на мейнтейнеров ключевых библиотек: LangChain, Hugging Face Transformers, LlamaIndex, vLLM. Методы будут теми же: фишинг, компрометация личных аккаунтов, шантаж. Если раньше open-source разработчик мог спокойно пить кофе в Сан-Франциско, теперь его цифровая жизнь — актив национальной безопасности. Или, по крайней мере, безопасности чьего-то венчурного портфеля.
Совет напоследок? Перестаньте относиться к open-source зависимостям как к бесплатному аппарату для капсульного кофе. Это больше не "взял и выпил". Это как брать еду на придорожном лотке в стране с сомнительной санитарией. Может, и прокатит. А может, вы проведете следующую неделю в больнице. Проверяйте. Анализируйте. Контролируйте. Или готовьтесь к тому, что ваши данные однажды уйдут с аукциона за 5 миллионов криптовалютных монет.
