La mejor manera de manejar esto es tener sus credenciales almacenadas en variables de entorno. Luego accedería a sus credenciales de esta manera:
var mysql = require('mysql');
var connection = mysql.createConnection({
host : process.env.DB_HOST,
user : process.env.DB_USER,
password : process.env.DB_PASS,
database : process.env.DB_NAME
});
connection.connect();
Luego, usaría una biblioteca como dotenv para establecer variables de entorno. Pondría sus variables de entorno en un archivo .env que no se distribuye con la aplicación y que no está en el control de versiones. Un ejemplo de .env podría verse así
DB_NAME=my_db
DB_HOST=localhost
DB_PASS=secret
DB_USER=me
https://www.npmjs.com/package/dotenv - consulte este enlace para obtener más información sobre el uso de dotenv e investigue un poco sobre la seguridad de 12 factores en las aplicaciones :)