唯一的办法就是审核呗

@drymonfidelia 你的需求不是没有人做，但是社区不好做这个事情，但是私有源提供者倒是很乐意提供这样的解决方案，关键是需要付费，以 Python 为例， 例如 anaconda, 以及 activestate 都是在做这个生意——提供可信的依赖管理。这些都是企业服务了

@zoumouse #18 因为楼主这种单纯提醒下载量的建议对于恶意包来说如果有这种限制他们肯定会刷量，反而导致真正好用的冷门包没有量让人不敢下，相对来说没有建设性，就是促进内卷刷量。真正有用的解决方案，一是花钱人工审核让企业买单个人用户蹭着用，二是标准库做完善些，这两个方案大家心里都清楚，但都不是一句话两句话能搞定的。

先不说你这个需求是不是合理吧。假设真要实现的话，包管理器和仓库之间也不是强关联的。
基本上包管理器都支持自建私有仓库、镜像仓库等等非“官方”仓库，它也区分不出来哪个是所谓的官方。所以标注虚假包的这个活，需要由谁负责呢？
总不能说 npm 下载任何包的时候，都要去 npmjs 上面验一下吧。