Eclipse Class Decompiler へのマルウェア混入について

  • 18
    いいね
  • 0
    コメント

ダウンロードランキングで常に上位に位置していた有名な Eclipse 逆コンパイラープラグイン Eclipse Class Decompiler (作者は中国の方) にマルウェアが混入しているとして、Eclipse Foundation の判断により、マーケットプレースから強制的に削除されました。使用されている方は以下の対処を強く推奨します。

対処方法

自分で Eclipse Class Decompiler をインストールされた方

  1. メニュー > ヘルプ (Mac は Eclipse) > Eclipse について > インストールの詳細
  2. 該当のプラグインを選択 > アンインストール

PAO Eclipse 4.7.0.v20170628 または 4.7.1a.v20171011 を使用

PAO (Pleiades All in One) を使用している場合は、dropins/EclipseClassDecompiler ディレクトリを削除、または 4.7.1a.v20171012 以降にバージョンアップしてください。現在のバージョンは PAO をインストールしたディレクトリにある pleiades-4.7.0-java-win-64bit_20170628 のようなファイル名に含まれる日付で確認できます。PAO 4.6 以前の同プラグインには該当の実装が含まれていないことを私のほうで確認済みですが、不安な場合は dropins の同ディレクトリを削除してください。

代替プラグイン

同プラグインがフォークされ、マルウェアに該当するコード部分のみを取り除いた Enhanced Class Decompilerが公開され、すでにマーケットプレースにも登録されています。Pleiades All in One 4.7.1a.v20171012 以降では、このプラグインに変更されています。

Enhanced Class Decompiler 更新サイト:
https://ecd-plugin.github.io/update

経緯

このプラグインからユーザ情報などが送信されていると Eclipse マーケットプレースに最初の報告があり、Eclipse メンバーにより調査され、環境変数などの送信や、100 クラス逆コンパイルすると広告 1 クリックするなどの動作と思われる実装が見つかりました。しかし、このプラグインは GitHub に公開されているソースコードには該当コードが含まれておらず、配布されているバイナリにのみ含まれていることが判明しました。

その結果、Eclipse マーケットプレースから強制削除され、同プラグインの配布サイトとなっている cpupk.com のドメインレジストラにも無効要求が提出されています。並行して作者にも、この内容は報告され、問題のコードを除去するためのプルリクエストも送られましたが対応されず、今でも作者のサイトでバイナリが配布されています。気に入らない方はアンインストールしてくださいとのことです。