я к тому что можно локнуть версии и случайно свежий код не попадет, и к этому легко придти средствами npm, плюс он проводит аудит пакетов при установке/апдейте и ты моежшь увидеть что появился небезопасный код
а какой конкретно кейс того, что злоумышленник перезалил код под той же версией, и тебе придёт вместо проверенного тобой кода другой?