I can't imagine the request would be exposed between Apache and Node, would it?
Bem, sim, é, mas a superfície é pequena e não é pior do que o apache transferi-la para outro daemon (por exemplo, php-fpm) no sistema.
Lembre-se que localhost (127.0.0.1) é a interface de loopback no sistema. Se alguém puder espionar o tráfego nessa interface, ele já estará no seu sistema.