> Я абсолютно уверен, что фирмварь в моём железе не будет пытаться утянуть реквизиты моей банковский карты или аккаунт в социалке, и рекламу впихивать на загружаемые веб-страницы - тоже.

Я тоже уверен в этом, если речь идёт о биосе. Это низкий уровень, системный. Для малвари на этом уровне важна возможность взять под контроль ОС и спрятать другое вредоносное ПО, которое уже и будет и инфу тырить, и компилируемые программы анализировать и инфицировать, и факт компрометации скомпилированных программ прятать.

>И что это же не будет делать софт из репозитириев Дебиана - тоже.

А вот в этом я совсем не уверен. Софт из репозиториев дебиана собран компилятором. И невозможно быть уверенным в его невредоносности, если он сам может быть собран вредоносными инструментами. Инфицировав тулчейн, собирающий дебиан, ты инфицируешь весь софт, собранный им, то есть дебиан. Инфицировав дебиан ты инфицируешь всех пользователей дебиана, включая всех разрабов, а также другие дистры, разрабы которых сидят на дебиане. Инфицировав всех разрабов ты предотвращаешь возможность обнаружения ими компрометации. Всё, цикл замкнулся, уробурос укусил свой хвост. Теперь чтобы обнаружить компрометацию придётся сканить HDD неинфицированным софтом. При этом можно заражать только большие и сложные бинари, в которых хрен вы обнаружите вредоносную модификацию и сделать их несобираемыми версиями компиляторов до заражения всего мира, тогда референсного чистого бинаря не будет в принципе, с которым можно bit-per-bit сравнить.