Python Package Indexのパッケージ「**litellm**」バージョン1.82.8において、悪意のあるサプライチェーン侵害が確認されました。 公開されたwheelファイルには、悪意のある`.pth`ファイル（`litellm_init.pth`、34,628バイト）が含まれており、これはPythonインタープリタによって起動時に自動的に実行されます。**litellm**モジュールの明示的なインポートを必要としないため、ステルスかつ永続的なマルウェア実行を可能にします。 重要なライブラリの保護 このインシデントは、オープンソースエコシステム内での堅牢なセキュリティ対策の緊急の必要性を浮き彫りにしています。Software Bill of Materials（SBOM）、Supply-chain Levels for Software Artifacts（SLSA）、Sigstoreのようなイニシアチブは、ソフトウェアコンポーネントの整合性と来歴を検証するために不可欠です。実装は複雑になる可能性がありますが、これらの対策はサプライチェーンリスクを軽減するために不可欠です。 この侵害は、ソフトウェアサプライチェーンに内在する脆弱性と、プロアクティブなセキュリティ対策の重要性についての厳しい注意喚起となります。