Eine Angriffswelle auf die npm-Lieferkette legt Tausende von Anmeldedaten von Entwicklern offen.