В принципе, следует исходить из того, что ничто не является безопасным, но и это не работает хорошо.
Всё несколько дней назад стало известно, что аккаунт NPM одного из разработчиков, стоящего за пакетом ESLint Prettier, был скомпрометирован, и он опубликовал новые скомпрометированные версии некоторых популярных пакетов:
Эти пакеты затем были использованы в других пакетах, поскольку многие утверждают, что всегда следует обновляться до последних версий.
После того как я увидел эту тему, я предложил функцию для внедрения проверки подписи плагинов и компонентов тем при их обновлении: Plugin and theme component signing
Это не остановит компрометацию ключа, но хотя бы сделает часть цепочки поставок более надёжной. В конечном счёте всё ещё возможно, что будут подтянуты скомпрометированные сторонние библиотеки. Дополнительные зависимости не всегда хорошо видны.