依赖劫持

包所有者可以使用自定义域名的电子邮件向各种包管理器（如npm、pypi等）注册。如果域名过期，攻击者可以注册此域名并通过密码恢复获得对账户的访问权限。

"Zero-Days" Without Incident - Compromising Angular via Expired npm Publisher Email Domains – The Hacker BlogThe Hacker Blog