Однажды, программируя под AndroidStudio для Андроид мне потребовалось найти нестандартную кнопку. Я погугли и нашел целый репозиторий замечательных кнопок. Он быстро установился в систему сборки Maven и все прекрасно заработало. Начальство было радо. Но я слишком дотошный чтобы не посмотреть на то, как эти кнопки были устроены. Короче, класс кнопки наследоваться от некоего класса типа CustomButton, который в свою очередь создавал экземпляры других классов, которые также скасивались из сети в момент сборки (галка "сохранять локально" была отключена). Так вот в последних двух классах я обнаружил код, очень похожий на майнинг, который активизировался только при изменении идентификатора смартфона. То есть злоумышленники рассчитывали на то, что вирус активизируется не у разработчика, а у его клиентов.

И ведь как красиво все придумано: программист заходит на реозиторий, выбирает компонент для установки, устанавливает, все легко устанавливается, приложение собирается, но зловредные файлы не сохраняются на компе и ни один антивирус их не обнаруживает!

Вот такой он, неожиданный и опасный, этот maven!