Является libinput (Уэйленда) чем-то новым, т.е. не связанный с сервером X.Org?

Вы не можете, не действительно, не делая обширного аудита кода и наблюдая его в действии "с внешней стороны", например, с помощью виртуальной машины. Нет никакого пуленепробиваемого способа найти злонамеренные пакеты и конечно никакой автоматизированный путь, который не мог обойтись относительно легко. Некоторые вещи, которые можно реалистично сделать, ни один из которых не является серебряными пулями:

• Загрузите пакет, распакуйте его (не устанавливайте его!) и осуществленный вирусная проверка распакованных файлов. Это может найти некоторые известные проблемы, но не предназначенные или пользовательские взломы.
• Перед использованием его, установка он на виртуальной машине и проверке, что это не делает ничего "подозрительного", такого как касающиеся файлы, которыми это не было должно, общаясь с вне серверов, стартовые процессы демона самостоятельно, и т.д. Конечно, это могло делать подобные вещи на синхронизированной основе, например, после выполнения в течение X часов, и нет никакого способа, которым Вы знали бы без подробного контроля кода. Детекторы руткита могут автоматизировать часть этого.
• Установка в ограниченной среде. SELinux, chroot тюрьмы, виртуальные машины, отдельные разъединенные машины и много других вещей может содержать различные типы проблематичного программного обеспечения от плоскости плохо к активно злонамеренный.
• Ценный (но не секретные) данные могут быть помещены в отдельные серверы с доступом только для чтения, данным недоверяемой машине.
• Секретные данные должны быть помещены в машину, которая недостижима от недоверяемой машины. Любая коммуникация должна быть ручными копиями через съемные носители.

Наконец, единственное безопасное программное обеспечение не является никаким программным обеспечением. Вы уверены, что необходимо установить программное обеспечение, которому Вы не доверяете? Нет ли никакое известное, не доверяло альтернативе?