Angreifer haben ein populäres npm-Paket (codexui-android, ~27.000 Downloads wöchentlich) mit Malware infiziert, die langlebige OpenAI-Tokens stiehlt und dabei Code-Audits und Google-Play-Prüfungen erfolgreich umgeht.