composer.json содержит зависимости вашего проекта от данных библиотек.
Но эти самые библиотеки могут содержать в себе другие зависимости, которые будут отражены в composer.lock (в composer.json, при этом, отражено не будет).
Т.е. то что скачиваются у вас пакеты, которых нет в composer.json - это нормально и от этого никак не уйти, потому что это необходимость.
