悪意持ったコミッターが急に来てコード混ぜこんでましたよ、とかならまだええんよ。

今回の件、関わってる（とされている）ユーザーは2年近くに渡ってコミットし続けてるわけで、まだ見つかってないものが仕込まれてる可能性もかなり高いはず。

直近のバージョン以下なら安全みたいな話になってる状況を考えると、調査のためにもリポジトリは開いとくべきだった。
マルウェアを配布しないためなら、releaseページだけ止めればよかったのでは