Um novo ataque à cadeia de suprimentos do npm está roubando credenciais de desenvolvedores e usando tokens de publicação comprometidos para se espalhar autonomamente por outros pacotes do ecossistema.