Не покидает мысль. Вот, подключил NuGet пакет для записи логов в PostgreSQL. Форк самого популярного. Решил собрать из исходников, на всякий случай. Но! Там еще он за собой тянет некие NuGet-пакеты, которые тоже мало пупулярны. Какова вероятность что в одном из них зловред и строка подключения уходит автору зловреда? Проверять ли все?

А так же может быть вариант, что вы обновите версию и зловред окажется уже в новой версии, причем автор не виноват — его самого взломали.

Какие у вас правила по этому вопросу? Кто сталкивался со зловредом?