用socket.dev给 npm install 包一层安全防御