I server possono aggiungere del codice ai file che inviano al cliente, per gestire in modo trasparente per l'utente autenticazioni od altri servizi particolari.

Se il server è stato compromesso, è possibile che appenda ai file in uscita del codice arbitrario, ad esempio quello in oggetto.

In generale, se il server è stato compromesso, potrebbe fare qualsiasi cosa dei tuoi file prima di inviarli al client.

E vista la alta competenza di chi ha sviluppato questo script, non è affatto strano che abbia trovato, per distribuirlo, un modo più efficiente rispetto al doverlo materialmente inserire nelle varie pagine...