50VAJJ, теоретически можно. Пример 1: Вы подключили сторонний репозиторий (заведомо содержащий в себе вредоносное ПО), и установили из него пакет.
Пример 2: в результате действий третьих лиц был скомпрометирован системный репозиторий, и в нем оказался пакет, содержащий вредоносное ПО. Сразу после этого Вы устанавливаете себе этот пакет - цель достигнута.