Dúvida real: e como esse vírus passa a fazer parte do app?
As empresas desenvolvedoras foram ‘atacadas’?
não foram atacadas, elas usam parte do código de outras empresas, essas empresas que foram enganadas e colocaram o vírus juntamente com outros códigos/programas em um catalogo, ai no efeito em cadeia que acontece isso.
Seria o caso de elas terem usado códigos disponíveis no GitHub?
não duvido, ou ter criado outra conta com os mesmos “códigos” ou invadido a conta e “atualizado” para uma nova versão, possibilidade são grandes
outra possibilidade é atualização das versões da empresas que oferece e foi adicionado o vírus, mais ou menos o que aconteceu com SolarWinds que presta serviço de software para grande empresas e pegaram a Microsoft
O Google bem que poderia fazer um teste que não demonstrasse ser o debug…
E como esses payloads foram enfiados ai sem a empresa saber?