Попадались ли зловредные пакеты NuGet? По идее их там не сильно проверяют.
К примеру, многие из них инициализируются логином/паролем к какому-либо сервису. Что мешает встроить 2 строчки кода и отсылать этот логин пароль автору либы якобы под предлогом логирования ошибок?