Ein bösartiger Kompromittierung der Lieferkette wurde im Python Package Index-Paket **litellm** Version 1.82.8 identifiziert. Das veröffentlichte Wheel enthält eine bösartige `.pth`-Datei (`litellm_init.pth`, 34.628 Bytes), die vom Python-Interpreter bei jedem Start automatisch ausgeführt wird, ohne dass ein expliziter Import des **litellm**-Moduls erforderlich ist. Dies ermöglicht eine heimliche und persistente Ausführung von Malware. Kritische Bibliotheken absichern Der Vorfall unterstreicht den dringenden Bedarf an robusten Sicherheitsmaßnahmen innerhalb von Open-Source-Ökosystemen. Initiativen wie Software Bill of Materials (SBOMs), Supply-chain Levels for Software Artifacts (SLSA) und Sigstore sind entscheidend für die Überprüfung der Integrität und Herkunft von Softwarekomponenten. Obwohl die Implementierung komplex sein kann, sind diese Maßnahmen unerlässlich, um Risiken in der Lieferkette zu mindern. Diese Kompromittierung dient als deutliche Erinnerung an die inhärenten Schwachstellen von Software-Lieferketten und die Bedeutung proaktiver Sicherheitsmaßnahmen.