Vlad999777

У вас этот файл явно исполняется на клиенте (есть состояние и обработчик события), а на клиенте никакого process.env нет (при этом я не понимаю как может быть "локально всё ок"). А даже если бы и был, все эти телодвижения лишены смысла - вы свой секретный токен передаёте на клиент и там вставляете в данные формы, то есть он уже совсем никакой не секретный.
Что либо секретное не должно покидать сервер и, соответственно, без сервера не реализовать ничего секретного.