Задняя дверь модуля Go Mirror была доступна разработчикам более трёх лет.

Зеркальный прокси Google, работающий в интересах разработчиков языка программирования Go, более трех лет распространял поддельный пакет до понедельника, когда исследователи, обнаружившие злонамеренный код, потребовали его удаления. Этот сервис, известный как Go Module Mirror, кэширует открытые пакеты, доступные на GitHub и других ресурсах, чтобы ускорить загрузку и гарантировать совместимость с остальной частью экосистемы Go. По умолчанию при использовании командной строки для загрузки или установки пакетов запросы направляются через этот сервис. На сайте указано, что прокси предоставляется командой Go и «управляется Google».

С ноября 2021 года, согласно заявлению компании Socket, Go Module Mirror размещал поддельную версию широко используемого модуля. Этот файл применяет технику "клавиатурного сквоттинга" (typosquatting), при которой злонамеренные файлы имеют имена, похожие на имена легитимных и широко распространенных пакетов, и размещаются в популярных репозиториях. При этом если кто-то случайно допускает опечатку или незначительное изменение в имени файла при его загрузке через командную строку, он может получить вместо нужного файла злонамеренный.

(Аналогичные схемы клавиатурного сквоттинга часто используются и для доменных имен.)