例としてあげられているパッケージに指定されているリポジトリに説明が書かれています。

※READMEより、抜粋しGoogle翻訳と並列表記

原文
This package name is not currently in use, but was formerly occupied by another package. To avoid malicious use, npm is hanging on to the package name, but loosely, and we'll probably give it to you if you want it.

日本語訳
このパッケージ名は現在使用されていませんが、以前は別のパッケージが占有していました。 悪意のある使用を避けるために、npmはパッケージ名に掛かっていますが、大雑把に言えば、あなたが望むならそれを与えるでしょう。

自分のおおまかな理解では、

• あるパッケージAは、かつて存在した別のパッケージBに依存している
• もともとあったパッケージBはすでになく、同名だがまったく違う内容のパッケージB'が登録されている
• このときパッケージAをnpm installなどでインストールすると、パッケージB'に依存しているとみなされる

という状況が発生する際に、パッケージB'に悪意のあるコードが埋め込まれてしまった場合の事故を防ぐために、
npm本体がsecurity-holderという無害なパッケージで塞いでいるのだと思います。