Pesquisadores de cibersegurança descobriram um token do GitHub acidentalmente vazado que poderia ter concedido acesso elevado aos repositórios do GitHub da linguagem Python, do Python Package Index (PyPI) e da Python Software Foundation (PSF). O segredo foi vazado em um contêiner público do Docker hospedado no Docker Hub. Este caso foi excepcional porque alguém poderia injetar código malicioso em pacotes do PyPI e até mesmo na própria linguagem Python. Um invasor poderia, hipoteticamente, usar seu acesso de administrador para orquestrar um ataque em larga escala na cadeia de suprimentos, envenenando o código-fonte associado ao núcleo da linguagem de programação Python ou ao gerenciador de pacotes PyPI.

Após a divulgação responsável em 28 de junho de 2024, o token que foi emitido para a conta do GitHub vinculada ao administrador do PyPI, foi imediatamente revogado. Não há evidências de que o segredo tenha sido explorado em campo. O PyPI informou que o token foi emitido em algum momento antes de 3 de março de 2023, e que a data exata é desconhecida devido à indisponibilidade dos logs de segurança além de 90 dias.