Você basicamente deve assumir que nada é seguro, o que também não funciona bem.
Há poucos dias veio à tona que um dos desenvolvedores por trás de algumas contas NPM de pacotes ESLint Prettier teve sua conta comprometida e publicou novas versões comprometidas de alguns pacotes populares:
Esses pacotes foram então referenciados em outros pacotes, pois muitos afirmam que você deve sempre atualizar para as versões mais recentes.
Depois que vi essa thread, sugeri um recurso para introduzir a validação de assinatura de plugins/componentes de tema ao atualizá-los: Plugin and theme component signing
Isso não impediria uma chave comprometida, mas pelo menos tornaria parte da cadeia de suprimentos mais confiável. No final, ainda é possível que bibliotecas de terceiros comprometidas sejam incluídas. Dependências adicionais não são realmente visíveis.