@zoumouse #18 因为楼主这种单纯提醒下载量的建议对于恶意包来说如果有这种限制他们肯定会刷量，反而导致真正好用的冷门包没有量让人不敢下，相对来说没有建设性，就是促进内卷刷量。真正有用的解决方案，一是花钱人工审核让企业买单个人用户蹭着用，二是标准库做完善些，这两个方案大家心里都清楚，但都不是一句话两句话能搞定的。

先不说你这个需求是不是合理吧。假设真要实现的话，包管理器和仓库之间也不是强关联的。
基本上包管理器都支持自建私有仓库、镜像仓库等等非“官方”仓库，它也区分不出来哪个是所谓的官方。所以标注虚假包的这个活，需要由谁负责呢？
总不能说 npm 下载任何包的时候，都要去 npmjs 上面验一下吧。