「VLC Media Player」の評価ではありません。

Symantec（Norton）社は、
中国政府と関連するハッカー集団が「世界中の組織をターゲットにしたサイバースパイ」作戦を展開していたことを確認した。
その作戦では、人気のオープンソースメディアプレーヤー「VLC」をターゲットに、偽の更新版を配布し、Cicada または APT10 と呼ばれるマルウェア攻撃が仕掛けられていた。
主に政府関連機関や、教育、宗教、通信、法律、製薬分野、NGO を標的にしていたという。
作戦は、昨年初めて捕捉され、2022年2月に活発化し、現在も継続している。

この攻撃は、少なくとも「侵害されたシステム」とトリガーに使用できる他のツール（例えば、マルチメディアプレーヤー）の「偽の更新版」が起動させる要件です。

アプリを公式サイト（または信頼できるサイト）からダウンロードする限り、偽の（悪意のある「DLL」ファイルが仕組まれた）更新版は存在しないはずなので、マルウェアから安全であるはずです。

問題は、非公式のダウンロードサイトです。
ハッカーは「マルバタイジング」のような様々な手口を駆使し、（人気のあるプログラムのアイコンを使って）オリジナル（正規品）と錯覚させマルウェアをダウンロードさせて、システムに感染させ、二次感染源（プロパガンダのボットマシン）化を狙っている可能性がある。

プログラムの改ざんは、チェックサムが公式リリースのものと一致するかどうか、ハッシュ値を確認することで判明できます。
とりわけ、OS やブラウザの「セキュリティパッチを適用し、最新に保つ」ことが重要です。
実行プログラム（JavaScript）を無効化できる「uBlock Origin」や「VoodooShield」、Unchecky などの使用も効果的です。

【追記】2022年04月12日 19時53分
「プラグイン」や「拡張機能」に関して：
それらの多くはアプリ本体の開発者とは「独立した作者によって作成」されています。
プログラムに完全にアクセスできるため、セキュリティ上のリスクとなる可能性があります。
クリーンであったものでも譲渡されたりで、不正にまみれる事例が頻発している。
それらの追加は慎重にすべきで、
それらの更新は（リリースノートを精査し）手動で行うようにすることが肝要です。

【追記2】2022年04月13日 17時30分
マイクロソフトは2022年4月12日、同社のセキュリティサイトにおいて、新たなマルウェアに関する情報を公開しました。「Tarrask」と名付けられたこのマルウェアは、Windows のタスクスケジューリングシステムのバグを悪用して検知を回避し、レジストリに密かに潜伏したうえでマルウェアの痕跡を隠し、発見を困難にします。 その点検方法をコメント欄で解説します。