Cascade LiteLLM : protéger vos agents IA après l'attaque Mercor
Intention de recherche : comprendre comment la compromission supply chain de LiteLLM (via TeamPCP) a exposé Mercor et plus de 1 000 environnements SaaS, et bâtir un plan de confinement pour les plateformes d'agents IA.
Ce qu'on sait
- Mercor, première victime qui parle : la scale-up de recrutement d'agents IA confirme avoir été « l'une des milliers d'entreprises » frappées après la compromission de LiteLLM. Les criminels Lapsus$ affirment avoir volé 4 To de données, dont 939 Go de code source (The Register, 2 avril 2026).
- Un effet domino massif : Mandiant rapporte déjà plus de 1 000 environnements SaaS en remédiation active et vx-underground estime que 500 000 machines ont vu leurs secrets siphonnés. TeamPCP recycle les identifiants collectés pour explorer cloud, code et runtime.
- Chaîne d'infection imbriquée : Trivy (scanner vulnérabilités) a été piégé fin février ; LiteLLM et Telnyx ont reçu des paquets PyPI trojanisés fin mars ; les secrets récoltés alimentent des intrusions ciblées, notamment celles revendiquées par Lapsus$.
Pourquoi c'est critique pour les DSI / RSSI
- Les agents IA répliquent les secrets : LiteLLM centralise les clés OpenAI/Anthropic/Azure ; leur vol donne accès aux orchestrateurs maison, à vos portails clients et à vos modèles propriétaires.
- Escalade vers vos pipelines CI/CD : l'incident Anthropic (8 100 dépôts GitHub retirés par erreur après une fuite de code source) montre que la moindre exposition d'artefacts IA déclenche un chaos légal et opérationnel (TechCrunch, 1er avril 2026).
- Mises à jour compromises : la campagne TrueChaos sur les serveurs TrueConf (CVE-2026-3502) prouve qu'un simple manque de contrôle d'intégrité dans un serveur on-prem peut propager des binaires malveillants à toutes les stations (BleepingComputer, 1er avril 2026).
- Pression réglementaire : RGPD, DORA ou NIS2 imposent désormais la cartographie des dépendances logicielles critiques et la notification sous 72 h dès qu'une chaîne d'approvisionnement est touchée.
Anatomie de l'attaque TeamPCP → LiteLLM → Mercor
- Pré-compromission : infiltration des mainteneurs Trivy/KICS via comptes PyPI, insertion de voleurs de jetons (TeamPCP).
- Phase de collecte : dès qu'un runner CI exécute les versions piégées, les clés cloud, Git, SaaS et secrets API sont exfiltrés vers des C2 hébergés chez Google Cloud / Alibaba.
- Validation éclair : selon Wiz, les secrets volés sont testés en quelques minutes pour pivoter vers GitHub, Atlassian, Snowflake, M365…
- Monétisation : Lapsus$ revend les accès ou extorque les victimes (ex : dump des 4 To Mercor) ; d'autres groupes comme CipherForce injectent des rançongiciels.
Plan d'action 0-72 h
- Inventaire des dépendances : isoler tout workflow qui utilise LiteLLM, Trivy, KICS ou Telnyx publiés entre le 22 février et le 29 mars.
- Révocation massive : régénérer clés API LLM, secrets cloud, tokens CI/CD et sessions SaaS en partant du principe qu'ils sont compromis.
- Recherche d'IoC : corréler les C2 connus (TeamPCP, Havoc) sur les logs firewall, DNS et proxies ; scruter la création de comptes locaux inattendus sur vos runners.
- Sandboxes CI : geler les déploiements d'agents IA tant que chaque pipeline n'a pas été reconstruit sur une image propre.
Renforcement sur 30 jours
- Signer vos dépendances IA : activer Sigstore/SLSA pour chaque brique interne (connecteurs, prompts dynamiques) et refuser toute librairie non attestée.
- Segmenter les secrets : remplacer les fichiers
.envglobaux par des coffres dynamiques (HashiCorp Vault, AWS Secrets Manager) avec périmètre par équipe. - Zéro confiance sur les mises à jour internes : même pour vos serveurs de visioconférence ou d'orchestration IA on-prem, imposez une validation d'intégrité côté client (hash, signature, SBOM).
- Tabletop extorsion : simuler un chantage type Lapsus$ pour tester la coordination COMEX, juridique et sécurité.
KPI & signaux à suivre
- MTTR supply chain : objectif < 48 h pour révoquer et redéployer les secrets d'un pipeline compromis.
- Taux de dépendances signées : viser > 80 % sur les librairies internes critiques (agents, orchestrateurs, connecteurs SaaS).
- Détection latence C2 : écart entre première exfiltration détectée et blocage réseau.
- Clés périmées automatiquement : proportion de secrets régénérés sans action humaine.
Conclusion
La compromission de LiteLLM illustre un nouveau palier : frapper une brique open source très utilisée dans les orchestrations d'agents IA permet aux attaquants d'enchaîner accès cloud, code source et secrets clients en quelques heures. Les entreprises capables de tracer précisément leurs dépendances IA, de signer leurs artefacts et de compartimenter les secrets limiteront l'onde de choc — les autres subiront un effet boule de neige à la Mercor.
FAQ
Sommes-nous touchés si nous n'utilisons pas LiteLLM directement ?
Oui si un de vos SaaS, intégrateur ou prestataire IA l'utilise pour orchestrer vos prompts : exigez une preuve de régénération des secrets et de recompilation saine.
Peut-on continuer à utiliser Trivy/KICS ?
Oui, après vérification des empreintes des binaires et en bloquant les versions compromises. Ajoutez également une étape qui compare les hash à une source de vérité interne.
Comment vérifier que mes runners CI n'ont pas été pivotés ?
Analysez les connexions sortantes inhabituelles, les ajouts de clés SSH et comparez l'état des conteneurs à vos images de référence.
Que faire si des dépôts privés apparaissent dans une demande de rançon ?
Considérez la fuite comme avérée : enclenchez le plan IR, notifiez vos clients selon les obligations contractuelles et publiez un registre des secrets régénérés.
Sources
- The Register – « AI recruiting biz Mercor says it was 'one of thousands' hit in LiteLLM supply-chain attack » (2 avril 2026)
- TechCrunch – « Anthropic took down thousands of GitHub repos trying to yank its leaked source code » (1er avril 2026)
- BleepingComputer – « Hackers exploit TrueConf zero-day to push malicious software updates » (1er avril 2026)
