конечно не безопасно.
Скажу страшное - даже если ты скачаешь исходники и сам все сделаешь, не избавляет тебя от опасности получить трояна от тех кто выкладывал эти исходники, тех кто выкладывал бинарники утилит и даже инструкции по проведению всех этих работ.
Просто шансы этого уменьшаются и они тем меньше чем меньше используешь проприетарных утилит. Зачастую люди, выкладывающие исходники (и тем более сами мейнтейнеры) не заинтересованы в том чтобы делать гадости другим людям, они обычно публичные личности и факт помещения трояна в исходных текстах утаить очень сложно (в общем случае даже невозможно, вопрос цены проведения поиска). Т.е. фактически все упирается не в саму возможность это сделать а в принципиальное желание. Обычно все упирается в монетизацию, а она пока ограниченадля массового потребителя рекламой (но скоро будут массово криптовалюты красть, вот где страшно станет).
Смотри внимательно, чтобы персонально для тебя не был подготовлен загружаемый архив (в этом случае даже площадка посредник может подсунуть тебе зараженный модуль но при этом всему остальному миру показывать чистый файл. Хорошей практикой считается дополнительно проверка хэш суммы, хотя по факту, без наличия истории выкладываемых файлов с гарантиями хотя бы стороннего независимого, эти хэши бессмысленны.
