Когда NuGet устанавливает хост PowerShell, он проверяет, что является текущим ExecutionPolicy. Если это не Unrestricted, RemoteSigned или Bypass, он принудительно устанавливает ExcecutionPolicy в RemoteSigned для текущего процесса (devenv.exe).
PowerShell не видит встроенные сценарии init.ps1, install.ps1 и т. Д. Как загружаемые из Интернета, поэтому ничто не мешает вредоносному сценарию делать на вашем компьютере какие-либо действия, на которые у вашей учетной записи есть разрешения.
На данный момент все создатели пакетов NuGet в значительной степени находятся в системе "чести". Я считаю, что у Ruby Gems аналогичная ситуация.
NuGet имеет возможность использовать частные источники пакетов, поэтому, если безопасность имеет решающее значение, я предлагаю вам загрузить и проверить все пакеты и разрешить установку пакетов только из этих надежных источников.