stylus/stylus#2938

stylus 被投毒导致 npm 安全团队删除了该包，经申诉后恢复，但是包的 sha 值似乎有所变动

npm 官方仓库的 sha 值和下载下来的包 sha 值是对的上的，但是目前 npmmirror 的 sha 值跟 npm 官方仓库一致，但是下载下来的包的 sha 值对应不上

目前 npm 官方仓库和 npmmirro 的信息中 stylus@0.54.8 的 sha512 都是 vr54Or4BZ7pJafo2mpf0ZcwA74rpuYCZbxrHBsH8kbcXOwSfvBFwsRfpGO5OD5fhG5HDCFW737PKaawI7OqEAg==，但是 npmmirror 下载下来的包计算出来的是 uLbVatXATg+VcBGs2oJsaLSH9elqYKawnv1UXR7LiUc66u51IRpsfphTo1S75ND1IeUKTSfHrZ7qWlJfNKh0sg==，导致 pnpm 安装的时候无法通过哈希校验