Про savefromnet, глубокое исследование про то, как вас используют. Много букв. https://habr.com/ru/company/yandex/blog/534586/
Оттуда, кратко:
Краткий пересказ того, что делают расширения
Повторим ещё раз всё то же самое, но кратко.
1. Расширения запрашивают с сервера конфиг, в котором содержится адрес другого, командного сервера с обработчиком /ext/stat .
2. Обработчик /ext/stat присваивает уникальный uuid пользователю.
3. Каждый час расширения совершают запрос на адрес /ext/stat и исполняют код, полученный в ответе.
4. Скрипт с /ext/stat совершает запрос на /ext/up, получает сжатый основной код для выполнения cкрипта.
5. Выполнение скрипта с /ext/up может активировать функциональность перехвата access_token'ов ВКонтакте при их получении пользователем. Перехваченные токены могут отправляться на /ext/data.
6. Скрипт с /ext/up получает список заданий с /ext/def. Запрос и ответ шифруются на ключе, переданном в параметре hk.
7. Видео с рекламой воспроизводится в браузере втайне от пользователя.
8. Отправляется отчёт на /ext/beacon.