Idealmente, você lê todo o código de todas as bibliotecas e de todas as suas dependências, mas vamos ser honestos: a menos que você esteja extremamente focado na segurança, provavelmente não fará isso.Na maioria das vezes, isso não fará nada, mas sem ele, você pode não notar que confia em uma biblioteca aposentada que não receberá atualizações futuras de manutenção e segurança.Aqui está como é o módulo principal:
Agora, o objetivo deste exercício é adicionar maldade a uma biblioteca de aparência inofensiva, então vamos fazer isso.Isso gerará uma lista de todos os pacotes, a versão deles em seu aplicativo, a versão mais recente e se você pode atualizá -los automaticamente.Aqui está como:
Como você pode ver: o HTTPC é bastante baixo, mas confie em mim quando digo que o código acima faz uma solicitação de postagem para pastebin com alguns dados do formulário.
Fonte: https://www.peterullrich.com/how-malicious-libraries-can-steal-all-your-application-secrets
