А в .js что может быть полезного?

ссылки, параметры, ключи, закомментированный контент

закомментированный контент это внутри js? что-то интересное в коде?

Это function foo() //комментарий

ну типа ты делала что-то и просто решил закомментировать, какую-то часть, может для дебага, может доп функционал

Для работы с жс-файлами есть такие вещи, как linkfinder, которые на основе регулярных выражений парсят код и ищут в нём ссылки на различные ресурсы внутри и вне сайта. Но они, понятное дело, не справляются с обфусцированным или просто слишком сложным для них кодом. Поэтому лучший способ проверки жс-файлов на наличие вкусняшек - совмещать регулярки с запуском самих файлов внутри браузера. Изредка можно видеть, как браузер отправляет жабаскриптом запрос на какой-то эндпойнт со множеством параметров, но разобрать, какие именно параметры находятся в коде, без поллитры не получится. А так запустил жс в браузере и вперёд

Всё так

отдал им уже 60$?

Не :)

Строки всегда остаются строками, так что и в обфусцированном js можно найти всё регулярками

Хотя мб и строки шифруют, но такое никогда еще не встречал

Бывает

там могут в какое-нибудь даже простое кодирование засунуть и регулярка уже не увидит

\u002f\u0061\u0070\u0069\u002f\u0075\u0073\u0065\u0072\u002f\u006d\u0065

ребята кто знает что такой HOMEBREW_GITHUB_API_TOKEN

Токен для маковского менеджера пакетов, чтобы гит не лочил, когда ставишь что-то через него

это можно исполизовать для управление гит аккоунт,

зависит от того, какие права на него выданы

эту как можно проверит есть токен