Uma comprometimento malicioso na cadeia de suprimentos foi identificado no pacote **litellm** versão 1.82.8 do Python Package Index (PyPI). O arquivo wheel publicado contém um arquivo `.pth` malicioso (`litellm_init.pth`, 34.628 bytes) que é executado automaticamente pelo interpretador Python a cada inicialização, sem exigir qualquer importação explícita do módulo **litellm**. Isso permite a execução furtiva e persistente de malware. **Protegendo Bibliotecas Críticas** O incidente destaca a necessidade urgente de medidas de segurança robustas dentro dos ecossistemas de código aberto. Iniciativas como Software Bill of Materials (SBOMs), Supply-chain Levels for Software Artifacts (SLSA) e Sigstore são cruciais para verificar a integridade e a proveniência dos componentes de software. Embora a implementação possa ser complexa, essas medidas são essenciais para mitigar os riscos da cadeia de suprimentos. Este comprometimento serve como um lembrete severo das vulnerabilidades inerentes às cadeias de suprimentos de software e da importância de medidas de segurança proativas.