Quando um frontend precisa chamar um serviço que tenha credenciais que não podem ser expostas, você precisa ter um bff (backend for frontend).
Esse bff vai precisar de autenticação do usuário (ou alguma validação) pra que alguém com acesso ao endpoint não pegue os dados.
Se for possível parametrizar na aplicação node as credenciais dos serviços, não haveria necessidade do aws Secrets.
O bff deve ficar responsável por chamar os serviços de login social e recaptcha