Une compromission malveillante de la chaîne d'approvisionnement a été identifiée dans le package **litellm** version 1.82.8 du Python Package Index. Le wheel publié contient un fichier `.pth` malveillant (`litellm_init.pth`, 34 628 octets) qui est automatiquement exécuté par l'interpréteur Python à chaque démarrage, sans nécessiter d'importation explicite du module **litellm**. Cela permet une exécution furtive et persistante de malware. Sécuriser les bibliothèques critiques L'incident souligne le besoin urgent de mesures de sécurité robustes au sein des écosystèmes open-source. Des initiatives telles que le Software Bill of Materials (SBOMs), Supply-chain Levels for Software Artifacts (SLSA) et Sigstore sont cruciales pour vérifier l'intégrité et la provenance des composants logiciels. Bien que la mise en œuvre puisse être complexe, ces mesures sont essentielles pour atténuer les risques liés à la chaîne d'approvisionnement. Cette compromission sert de rappel brutal des vulnérabilités inhérentes aux chaînes d'approvisionnement logicielles et de l'importance des mesures de sécurité proactives.