もし誰かが悪意のある処理を仕込むとしたら、二択になる。

1.ものすごくバイナリ解析術を研究して、時間かけて解析してバイナリに仕込む。
2.ソース公開されているもののソースをちょこっと変更するだけお手軽仕込み。

俺がもしやるなら、2. しか選ばない。
頑張れば1.もできるかも知れないけど、頑張ったところでできる保証しないし、頑張りたくない。
ソース公開してあったら安全とか絶対逆だから。
君らも自分でソースの中身を確認して自分でコンパイルしているわけではないだろ。
プログラム一個のソースにつき、何か月もかけて解析してからこんパイルするようなバカはいないだろ。

誰もが、得体の知れないバイナリしかインストールしないんだよ。
例え、GNUソフトであってもな。