Angreifer nutzten ein scheinbar legitimes npm-Paket mit 27.000 wöchentlichen Downloads, um Refresh-Token zu stehlen, die unbegrenzten Zugriff auf Konten ermöglichen.