Sugiro você validar qualquer dado sensível ou restrição de acesso via back end, nunca no client, nem mesmo obfuscando código.
Não sei onde você está hospedado seu server, mas em caso de phishing, spam, DDos ou qualquer outra coisa, valide o acesso pelo servidor. Tu pode bloquear o acesso pelo ip, token de acesso e outras coisas.
E mais uma dica/sugestão, não faça seus usuários baixarem um arquivo zip com um node_modules e um index.js obfuscado. Isso tira toda a credibilidade do projeto. Sugiro você refatorar toda essa parte e tornar as coisas mais claras.
Se seus usuários quiserem burlar ou fazer ataque em massa no teu server, eles vão. Nem o Google, Facebook e outras cambadas estão livres disso.
E não se preocupe se vão reutilizar seu código, copiar ou etc. Se fizerem isso, encare como uma homenagem, porque você fez um trabalho digno de cópia. (no bom sentido claro).
Arrume esses detalhes e dê um exemplo de como usar o teu banco de dados (sem ter que baixar zip nenhum) que vai ficar show.