• Разбирается вредоносный скрипт 13850.js (kidecyg.com/13850.js), который регистрируется как Service Worker и продолжает работать после закрытия вкладки.
• SDK собирает идентификатор подписки (endpoint/uuid), userAgent, language и timestamp и отправляет их на внешний адрес (в примере tracker-malicious.com/collect).
• Для получения разрешения используется полноэкранный оверлей с текстом про «Разрешить», который блокирует доступ к контенту.
• После согласия создаётся push-подписка через pushManager.subscribe, а данные подписки отправляются на сторонний сервер (в примере zcode17.com/?send=uuid).
• Показаны механизмы устойчивости и сокрытия: восстановление Service Worker через подмену unregister, а также обфускация строк и URL в коде.

Почему это важно: Push API и Service Worker считаются штатной частью браузера, поэтому злоупотребления могут выглядеть как обычный функционал сайта и сложнее выявляться. На практике это ведёт к массовому push-спаму и трекингу, что отражается на доверии пользователей и репутации домена. Разбор даёт конкретные примеры кода и последовательности действий, по которым можно понимать логику таких внедрений.

На что обратить внимание: В описании подчёркнуто, что Service Worker может регистрироваться из внешнего адреса и жить независимо от открытой страницы, а пользовательское согласие провоцируется через оверлей и динамический UI. Для сетевой части характерны отправка данных на сторонние домены и скрытые механизмы синхронизации, а для анализа — проверки окружения (например, признаки webdriver или headless). В финале упоминается, что браузеры уже начинают блокировать подозрительные push-подписки без активного взаимодействия, но social engineering остаётся эффективной.