PROBLEMA 1: NPM
Se você tem 2FA ativado no NPM, o token gerado não é o de Publish, e sim o de Automation.
PROBLEMA 2: GITHUB
O auto atualiza o arquivo package.json, então ele precisa de permissão pra criar o commit no GH. Pra permitir isso, é só ir no repositório > Configurações > Actions > Geral, e lá marcar para permitir leitura e escrita nas permissões do Workflow.