Ищите везде: файл, текст в файле, упоминания в БД данного сайта/URL/скрипта. Если это наблюдается только в одной категории курсов, логично подозревать, что где-то в описании курсов этой категории кто-то неумышленно вставил ссылку на этот скрипт, или на «левый» сайт со ссылкой на скрипт, или файл со ссылкой (даже картинка может содержать ссылку) и т. д.
Вот вылезло ещё последствие от этого скрипта: https://king.sslproviders.net/f/stats.php, т. е., похоже скрипт собирает какую-то статистику
А во всех браузерах такое?