Voxiom.io KIT NO-RECOIL was reported 2023-04-27 for Obfuscated code
Нарушает следующие правила:
Скрипты не должны проверять наличие обновлений чаще одного раза в день
Скрипт проверяет обновления каждый раз при активации скрипта, запрашивая скрипт с greasyfork.org.
Исходный код, размещённый на Greasy Fork, не должен быть зашифрован (obfuscated) или сжат (minified)
Код специально обфусцирован, а все названия переведены на кириллицу. Но главная проблема в том, что функциональность скрипта скрыта за зашифрованным кодом, который находится в закомментированной строке под видом base64/png. Если комментарий с base64 удалить, скрипт возвратит ошибку. Если внести изменения в любую часть скрипта, скрипт возвратит ошибку "get wrong script content", а в самой ошибке используются строки, которых нету в открытом коде данного скрипта, что говорит о скрытой функциональности в зашифрованной части скрипта и использовании уязвимости при обработке комментария в качестве исполняемого кода.
Комментарии от создателя скрипта на сервере Discord, указанного в скрипте:
You can't edit it.
Because try to edit
You will "get wrong script content" message
Ofc
At least I am checking for version
But who knows
Maybe I am checking something more
Because I want to have full control on code that I am uploading for use
Это говорит нам о том, что автор сознательно скрыл функциональность скрипта и намекает, что там может быть всё, что угодно. Это делает невозможным проверить безопасность скрипта на наличие вредоносного кода.
Cyrillic is not prohibited by the rules. The code really checks its version, it's really allowed (I asked the moderators about the update frequency, but it seems that according to the code they provided me, it can still be done). There is also a check of some critical functions for their compliance with the checksum of hashes, so if they are changed, the script will not really work. Talking of some "strings which are not in code" - this string are getting directly from the site. The idea of getting actual code from the comments is not realistic.
This script has been updated since the report was filed.
This script has had 1 previous upheld or fixed report.
doctor8296 (the reported user) has made:
This report has been upheld by a moderator.
"but it seems that according to the code they provided me, it can still be done" -- no, it can't be done, there is a strict limit (1 day).