黑客发动恶意NPM、PyPI套件攻击，往往会通过域名抢先注册的手法，利用与正牌套件极为相似名称来混淆开发人员视听，但如今研究人员发现新的手法，并发现已被黑客广泛利用。

资安业者JFrog揭露名为Revival Hijack攻击手法，黑客寻找已经下架的合法PyPI套件，并重新注册相同的名称，上架恶意套件。这样的做法无须依赖开发人员出错才能趁虚而入，而且，若是原本套件的用户有良好的习惯，会使用最新版的套件，甚至通过CI/CD环境自动套用更新，就有可能中招。

根据研究人员的调查，这种挟持攻击手法影响12万个PyPI套件，他们进一步排除恶意套件和垃圾套件，并针对下载超过10万次，或是经营超过半年的套件进行统计，他们认为至少有2.2万个PyPI套件容易成为黑客下手的目标。研究人员指出，开发人员下架套件的情况相当常见，平均每个月就有超过300个，这样的情况，也导致可被滥用的套件名称不断增加。

为了防堵黑客利用这种攻击手法，他们接管部分已下架的套件名称，并上传0.0.0.1版的空套件，来避免现有套件用户的CI/CD环境自动拉取、更新。但即便他们采取这样的措施，这些被研究人员接管的套件几天内就出现数千次下载，在3个月后，总下载量已超过20万次。这样的情况，代表Revival Hijack造成的影响相当广泛。

研究人员指出，他们注意到这类威胁，起因是已有实际攻击行动。

今年4月，该公司的威胁扫描系统侦测到PyPI套件pingdomv3出现异常活动，他们寻线调查，发现此套件原本在2019年11月推出，到了今年3月27日开发者正式向用户表明不再支持，应停止使用，并在30日将整个项目下架，但不久之后，另一名开发者就使用相同名称发布新套件，并声称是接手进行后续维护，后来在4月12日，此开发者就上传含有恶意酬载的新版套件，而被研究人员发现。

他们也向PyPI团队进行通报，并揭露这类弱点可被利用的情况，PyPI团队其实已在2022年7月讨论相关议题，但截至去年中旬尚未得到具体结果。

研究人员指出，虽然PyPI团队已采取部分手段减缓威胁，但他们强调，Revival Hijack至今仍是极为有效的攻击手段，呼吁PyPI应采取严格的政策，全面禁止重复使用相同的套件名称。