A melhor maneira de lidar com isso é ter suas credenciais armazenadas em variáveis de ambiente. Você então acessaria suas credenciais assim:
var mysql = require('mysql');
var connection = mysql.createConnection({
host : process.env.DB_HOST,
user : process.env.DB_USER,
password : process.env.DB_PASS,
database : process.env.DB_NAME
});
connection.connect();
Então você usaria uma biblioteca como dotenv para definir variáveis de ambiente. Você colocaria suas variáveis de ambiente em um arquivo .env que não é distribuído com o aplicativo e que não está no controle de versão. Um exemplo .env pode ser assim
DB_NAME=my_db
DB_HOST=localhost
DB_PASS=secret
DB_USER=me
https://www.npmjs.com/package/dotenv - veja este link para mais informações sobre o uso do dotenv e faça algumas pesquisas sobre segurança de 12 fatores em aplicativos :)
