2 min de lecture
LiteLLM compromis sur PyPI : quand la chaîne d'approvisionnement IA bascule
En 40 minutes sur PyPI, une attaque a suffi pour atteindre Mercor, startup valorisée 10 milliards, et exposer les données d'entraînement des grands labs.
LiteLLM compromis sur PyPI : quand la chaîne d'approvisionnement IA bascule
Le 27 mars 2026, deux versions malveillantes du paquet Python LiteLLM ont été publiées sur PyPI. En 40 minutes, avant d'être retirées, elles ont déclenché une cascade qui a conduit à la compromission de Mercor, startup valorisée 10 milliards de dollars fournissant des données d'entraînement à OpenAI, Anthropic et Meta. L'incident révèle une fragilité structurelle au cœur de l'écosystème IA.
Une attaque en cascade sur trois niveaux
Le groupe TeamPCP a d'abord ciblé Trivy, un outil d'analyse de sécurité très utilisé en CI/CD, fin février 2026. En exploitant une vulnérabilité dans les GitHub Actions de Trivy, les attaquants ont récupéré les identifiants de publication PyPI de LiteLLM. Le 27 mars, ils ont publié les versions 1.82.7 et 1.82.8 de LiteLLM à treize minutes d'intervalle. Chaque version contenait un fichier .pth malveillant qui s'exécute automatiquement au démarrage de tout processus Python utilisant la bibliothèque.
LiteLLM est présent dans environ 36 % des environnements cloud qui utilisent des modèles de langage. Mandiant a confirmé plus de 1 000 environnements SaaS activement touchés par la cascade. Mercor, qui recrute des experts pour produire des données d'entraînement destinées aux grands laboratoires, faisait partie des victimes. 40 000 profils de contractuels, du code source, des interviews vidéo et des clés API auraient été exfiltrés. Le groupe Lapsus$ a revendiqué 4 To de données volées, sans que l'étendue exacte soit confirmée à ce stade.
Les conséquences concrètes
Meta a suspendu son partenariat avec Mercor dès l'annonce de la compromission. La startup fait face à sept recours collectifs. Au-delà du cas Mercor, l'incident illustre la dépendance systémique de l'infrastructure IA à des bibliothèques open source maintenues par un nombre réduit de contributeurs, avec des pipelines CI/CD qui référencent des dépendances sans les épingler à des versions fixes.
Ce n'est pas le premier signal d'alarme récent sur la sécurité de l'écosystème IA. La faille SSRF découverte dans LMDeploy et la compromission OAuth de Vercel via Context AI témoignent d'un même schéma : les outils d'infrastructure IA accumulent des vecteurs d'attaque que les équipes sécurité n'ont pas encore intégrés dans leurs processus habituels. La campagne nord-coréenne de 1 700 paquets npm piégés avait déjà mis en lumière la même vulnérabilité côté registres JavaScript.
Ce que ça signifie pour vous
Si vous intégrez LiteLLM ou un outil similaire dans vos pipelines, l'impératif est d'épingler les versions (version pinning) et de vérifier les hachages de chaque paquet téléchargé. Les dépendances de vos dépendances méritent la même attention : c'est ici un outil de sécurité, Trivy, qui a servi de vecteur d'entrée. Les organisations qui fournissent des données d'entraînement à des laboratoires d'IA doivent aussi réévaluer leur posture de sécurité. Ces acteurs détiennent des actifs qui deviennent des cibles prioritaires à mesure que la valeur des données d'entraînement augmente.
Sources : TechCrunch · The Register · SecurityWeek · Intelligent Living · Fortune