Bei den Paketverwaltungs-Tools apt, zypper, dnf, eopkg & Co. kommen die Pakete aus den Paket-Archiven der Distribution, die du benutzt. Wird die Distribution aktiv gepflegt, dann sind da keine "Karteileichen" vorhanden, aber ja, die Dateien landen auf deinem PC, primär im Ordner /usr/bin/ .
Wenn du deiner Distribution vertraust, dann kannst du auch den Paketen vertrauen. Und wenn nicht, dann solltest du dir eine andere Distribution suchen.
Bei Flatpaks über Flathub kommen die Programme aus Flathub und sind teilweise von den Entwicklern der Apps selbst - das erkennt man am Tag "verifiziert". Hier muss man den Entwicklern vertrauen, aber die Apps laufen in einer Sandbox, sodass sie prinzipiell sicherer sind. Verwendet man dann noch Wayland können die Programme auch nur das sehen, was sie sehen sollen. Bei X11 können Programme alles auf dem Bildschirm sehen und jede Tastatureingabe mitlesen.
Flatpak-Pakete landen entweder in /var/lib/flatpak/app oder ~/local/share/flatpak/app .
Für alle *ubuntu-Fans: Snaps kommen von Canonical und d.h. man muss dieser Firma vertrauen.
Bei pip ist das etwas anders, denn die kommen aus dem Python-Repository und sind nicht von der Distribution gepflegt. Wenn ich das richtig verstanden habe, kann da "jeder" Pakete einstellen. Ob sie geprüft werden, weiß ich nicht. Prinzpiell sollte man bei pip aber nicht alles blind installieren, sondern immer prüfen, wer das eingestellt hat und wie es gepflegt wird.
Pip installiert wohl in den Ordner /usr/local/lib/pythonX.Y/ . Das kannst du mittels
pip show PAKET
herausfinden.