type="module"なJSファイルをcredentialsをつけて(jsファイルリクエスト時にクッキーが付く)ロードしたい場合は、crossorigin属性をつけるとできるそうで、試してみたらできました。
参考元: ECMAScript modules in browsers - JakeArchibald.com
<script type="module" crossorigin src="hoge.js"></script>
また、このようにロードした場合、ロードしたJSファイル内でimportステートメントでのモジュールファイルロードにおいてもcredentialsが有効となりました。
この仕様、とくにデフォルトの仕様をどうするかはまだ議論中のようで、はっきりしているのがfetch()に合わせるということ。でそのfetch()のデフォルトの動作をどうするかが議論中?
Script modules and credentials · Issue #2557 · whatwg/html