近期，恶意攻击者通过GitHub Actions窃取了PyPI发布令牌，但未成功发布包。攻击者修改了多个存储令牌的工作流，将其发送至外部服务器。虽然部分令牌被窃取，但未在PyPI上使用。已通知受影响的项目维护者并采取了相应措施。建议使用短期令牌和受信发布者以增强安全性。