Que a China fica espionando outros estados é uma questão antiga, que ganhou força com o lançamento do 5G e algumas empresas chinesas criando dispositivos com backdoor. Isso foi notícia e continua sendo faz tempo. Só procurar no google, tem até artigo na wikipedia relacionando e acumulando todos os casos.
https://en.wikipedia.org/wiki/Concerns_over_Chinese_involvement_in_5G_wireless_networks
https://en.wikipedia.org/wiki/List_of_Chinese_spy_cases_in_the_United_States
https://en.wikipedia.org/wiki/2018_China%E2%80%93African_Union_espionage_allegations
https://www.brookings.edu/articles/chinese-spies-and-the-security-of-americas-networks/
https://www.cfr.org/backgrounder/chinas-huawei-threat-us-national-security
O caso que ocorreu na áfrica ficou famoso, porque especialistas descobriram que realmente tinha backdoor/transmissor nos aparelhos.
https://chinaglobalsouth.com/analysis/china-accused-again-of-spying-on-the-african-union/
https://futureafrica.net/so-china-is-spying-on-the-african-union-who-is-surprised/
Alguém implementando algo open source não significa altruismo. O npm and PyPI enfrentam problemas com código malicioso em libs open source.
https://www.cisoadvisor.com.br/descobertos-mais-de-700-pacotes-maliciosos-de-codigo-aberto/
