Se ha identificado un compromiso malicioso en la cadena de suministro del paquete **litellm** versión 1.82.8 del Índice de Paquetes de Python (PyPI). La rueda publicada contiene un archivo `.pth` malicioso (`litellm_init.pth`, 34,628 bytes) que es ejecutado automáticamente por el intérprete de Python en cada inicio, sin requerir ninguna importación explícita del módulo **litellm**. Esto permite la ejecución sigilosa y persistente de malware. **Asegurando Bibliotecas Críticas** El incidente resalta la necesidad urgente de medidas de seguridad robustas dentro de los ecosistemas de código abierto. Iniciativas como Software Bill of Materials (SBOMs), Supply-chain Levels for Software Artifacts (SLSA) y Sigstore son cruciales para verificar la integridad y procedencia de los componentes de software. Si bien la implementación puede ser compleja, estas medidas son esenciales para mitigar los riesgos de la cadena de suministro. Este compromiso sirve como un recordatorio contundente de las vulnerabilidades inherentes en las cadenas de suministro de software y la importancia de las medidas de seguridad proactivas.