Microsoft heeft 119 malafide extensies uit de Edge Add-ons store verwijderd die zich voordeden als gewone tools, maar in werkelijkheid gevoelige data van 2,6 miljoen gebruikers stalen. Deze extensies, die onder meer als adblocker, vpn, vertaaltool of video-downloader werden aangeboden, onderschepten inloggegevens en tweefactorauthenticatiecodes en fungeerden als backdoor op besmette systemen.

De kwaadaardige extensies maakten gebruik van een remote code execution-backdoor (RCE) waarmee aanvallers extra malware konden installeren. Eén module richtte zich specifiek op WordPress-beheerders door inloggegevens en sessiecookies te stelen. Ook Google-accounts waren doelwit; tijdens het inloggen werden wachtwoorden en 2FA-codes onderschept, waardoor accounts eenvoudig konden worden overgenomen. Daarnaast werden de extensies ingezet voor advertentiefraude door advertenties op websites te injecteren. Microsoft heeft de extensies verwijderd, de betrokken ontwikkelaarsaccounts geschorst en de detectie van malafide extensies verbeterd. Gebruikers wordt geadviseerd hun geïnstalleerde extensies regelmatig te controleren en verdachte of ongebruikte extensies te verwijderen.