↑
Оригинал:
https://blog.malwarebytes.com/threat...es-as-favicon/
Cервер отдавал JS только при "правильных" реферах, иначе выплёвывалась картинка. Браузер не подгружает левые майм типы для скриптов (script src) и ошибок никаких не возникает. А сделан сей трик, по всей видимости, для затруднения детекта автоматическими сканерами и анализаторами безопасности.
Статья немного вводит в заблуждение