Python 供应链妥协

发布: 3周前 (2026年4月8日 GMT+8 18:25)

1 分钟阅读

Source: Schneier on Security

Details

在 Python 包索引（PyPI）中发现了一个针对 litellm 版本 1.82.8 的恶意供应链攻击。发布的 wheel 包含一个恶意的 .pth 文件（litellm_init.pth，34,628 字节），该文件会在 Python 解释器每次启动时自动执行，无需显式导入 litellm 模块。

Mitigation

确保关键库的安全需要一系列实践，包括：

生成软件材料清单（SBOM）
实施 SLSA（软件制品供应链等级）
使用 SigStore 进行签名和验证

这些措施对于保护 Python 生态系统免受类似威胁至关重要。

Python 供应链妥协

Details

Mitigation

相关文章

CPUID 网站被劫持，提供恶意软件而非 HWMonitor 下载

Google Chrome 添加针对会话Cookie窃取的infostealer防护

Smart Slider 更新被劫持，推送恶意的 WordPress、Joomla 版本

新 macOS 窃取活动在 ClickFix 攻击中使用 Script Editor