Você nunca deve colocar as credenciais em nenhum arquivo que vá para o repositório do código-fonte.
O que geralmente é feito é usar variáveis de ambiente que são definidas usando um painel de controle de sua plataforma de hospedagem para uma solução mais simples, ou você pode usar ferramentas como o etcd para uma solução mais flexível. Veja:
Com o Node, você também pode usar o módulo dotenv para facilitar a configuração do env env durante o desenvolvimento. Veja: