Básicamente, deberías asumir que nada es seguro, lo cual tampoco funciona bien.
Hace apenas unos días se supo que una de las cuentas de NPM de uno de los desarrolladores de algunos paquetes de ESLint Prettier fue comprometida y publicaron nuevas versiones comprometidas de algunos paquetes populares:
Estos paquetes se referenciaron luego en otros paquetes, porque muchos afirman que siempre se debe actualizar a las últimas versiones.
Después de ver este hilo, sugerí una función para introducir la validación de firmas de plugins/componentes de temas al actualizarlos: Plugin and theme component signing
Eso no detendría una clave comprometida, pero al menos haría que una parte de la cadena de suministro fuera más confiable. Al final, todavía es posible que se incluyan bibliotecas de terceros comprometidas. Las dependencias adicionales no son realmente visibles.