Здравствуйте, Shmj, Вы писали:

S>Попадались ли зловредные пакеты NuGet? По идее их там не сильно проверяют.

S>К примеру, многие из них инициализируются логином/паролем к какому-либо сервису. Что мешает встроить 2 строчки кода и отсылать этот логин пароль автору либы якобы под предлогом логирования ошибок?
Ничего не мешает конечно.
Если есть подозрения, собирайте из исходников предварительно проверив весь код

Есть всякие сервисы, которые вроде как предоставляют информацию.
https://github.com/OSSIndex/DevAudit
https://docs.myget.org/docs/reference/vulnerability-report