In de Microsoft Edge Add-ons store zijn meer dan honderd extensies ontdekt, met bij elkaar 2,6 miljoen gebruikers, die in werkelijkheid malware waren. Via de extensies konden aanvallers inloggegevens van Google-accounts en 2FA-codes, session cookies en wachtwoorden van WordPress-admins stelen. Daarnaast fungeerden de extensies als backdoor waardoor aanvallers na de installatie code op besmette systemen konden uitvoeren. Microsoft meldt dat het de extensies uit de Add-ons store heeft verwijderd.

De in totaal 119 extensies deden zich onder ander voor als adblocker, vpn, vertaal-extensie en video-downloaders. Via de "RCE-backdoor" waarover de extensies beschikten konden de aanvallers aanvullende malware installeren, waaronder modules waarmee inloggegevens van WordPress-admins werden gestolen, alsmede session cookies. Ook waren inloggegevens van Google-accounts het doelwit, waarbij zowel wachtwoorden en 2FA-codes tijdens het inloggen werden buitgemaakt. Zo konden aanvallers de betreffende accounts eenvoudig overnemen.

Tevens werden de extensies voor advertentiefraude gebruikt, waarbij allerlei advertenties op websites werden geïnjecteerd. Microsoft heeft zoals gezegd de 119 extensies uit de Add-ons store verwijderd en de negentig accounts van de betreffende ontwikkelaars geschorst. Verder zegt Microsoft dat de detectie om malafide extensies te detecteren is verbeterd. Het techbedrijf heeft ook een lijst met de malafide extensies gepubliceerd en adviseert Edge-gebruikers om regelmatig hun geïnstalleerde extensies te controleren en extensies die niet meer in gebruik zijn of worden herkend te verwijderen.