Подмена пакета, скорее всего, разрушит функциональность модуля, если они что и наловили, то запуск тестовых сборок - что, конечно, тоже жопа, но вряд ди уйдет в продакшен незамеченным

Достаточно того, что они запустили у себя в сети код из инета. А там уже сервера тестировщиков редко бывают герметично закрыты от внутренней сети.

Да и просто исходники всякой проприетарщины можно умыкнуть.

Нехуй манифесты выкладывать целиком

Там совсем весело - из preinstall можно выполнить произвольный код

https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610