AI 招聘平台 Mercor 确认遭受网络攻击，起因是开源 Python 库 LiteLLM 的供应链被攻破。Mercor 称自己是「数千家受影响公司之一」，已聘请第三方取证专家调查。 
LiteLLM 是一个月下载量达 9700 万次的 Python 库，开发者用它作为统一接口连接 OpenAI、Anthropic 等超过 100 家 AI 服务。一个名为 TeamPCP 的黑客组织向 PyPI 上传了被注入恶意代码的 1.82.7 和 1.82.8 版本，代码会窃取 SSH 密钥、API token、.env 文件和云服务商凭证，并建立持久后门。安全公司 Snyk 发现后恶意版本在数小时内被下架，但暴露窗口已足以让攻击者入侵下游系统。 
勒索黑客组织 Lapsus$ 随后在其泄露站点宣称对 Mercor 的攻击负责，声称共窃取约 4TB 数据，包括： 


939GB 源代码 


2...