どのディストリか忘れたけど
随分前にディストリの提供するパッケージにウィルスが紛れ込んだみたいな出来事があった気がする。
メンテナはソースコード全部精査してる訳ではないとは思うけど
ある程度リポジトリに入れるパッケージは絞り込んでるから
Windowsの野良インストーラよりかはマシなんじゃないの。
あとパッケージが署名されてるってのも地味に大きいかも。